Dans le secteur controversé des plateformes d'achat et revente de vulnérabilités de sécurité et exploits 0day, Zerodium a surpris hier en annonçant une mise à jour de sa grille tarifaire pour des exploits mobiles qualifiés de majeurs.

Pour la première fois, Zerodium accorde davantage d'intérêt aux 0day exploitables pour Android que pour iOS. Cet intérêt se mesure avec la découverte d'une technique complète de piratage sans interaction de l'utilisateur et persistante pour Android qui est rémunérée 2,5 millions de dollars.

Les mêmes types d'exploits pour iOS ne sont ainsi plus les plus rémunérateurs, même s'il s'agit toujours de 2 millions de dollars.

Cette évolution est notable et Chouakri Bekrar, le patron de Zerodium, fait quelques commentaires qui détonnent en déclarant que le marché des 0day est " inondé par des exploits iOS. " Ce ne sont toutefois pas nécessairement des exploits sans aucune interaction de l'utilisateur.

Il pointe notamment du doigt des chaînes d'exploitation se basant sur Safari et iMessage, et ajoute que d'un autre côté, " la sécurité d'Android s'améliore avec chaque nouvelle version du système d'exploitation grâce aux équipes de sécurité de Google et Samsung. Il est devenu très difficile et long de développer des chaînes d'exploitation complètes pour Android et c'est encore plus difficile pour les exploits zéro-clic ne nécessitant aucune interaction de l'utilisateur. "

Interrogé par Motherboard, le directeur de Crowdfense, qui est en concurrence avec Zerodium pour l'achat d'exploits 0day et la revente à des gouvernements, fait un commentaire intéressant au sujet de la fragmentation d'Android.

" Si une équipe de chercheurs trouve une chaîne d'exploitation fonctionnelle pour iOS, elle fonctionnera très probablement sur tous les iPhone utilisant cette version particulière d'iOS. Mais avec Android, il existe tellement de versions différentes du système d'exploitation qu'une chaîne d'exploitation sur l'un ne fonctionne pas nécessairement sur l'autre ", déclare Andrea Zapparoli Manzoni.

La fragmentation d'Android est-elle devenue l'alliée de sa sécurité ? Il ne faut pas exagérer non plus. Il semble en tout cas que sur le marché des 0day, un smartphone Android à jour soit devenu un défi plus recherché que l'iPhone. Dommage que des nuisibles " bas de gamme " viennent jouer les intrus dans le Google Play Store...