Tor Browser : 1 million de dollars offerts pour des exploits 0day

Le par  |  6 commentaire(s)
Zerodium-Tor-Browser

Zerodium dote un programme spécial d'un million de dollars pour des 0day affectant Tor Browser. Ils seront revendus à des clients gouvernementaux.

Plateforme premium pour l'achat d'exploits 0day, Zerodium a annoncé le mois dernier payer jusqu'à un demi-million de dollars pour des vulnérabilités critiques affectant des applications de messagerie sécurisée. Une introduction dans le cadre de son programme habituel couvrant divers produits, et où un jailbreak à distance persistant d'iOS sans interaction de l'utilisateur est rémunéré 1,5 million de dollars.

Jusqu'à la fin du mois de novembre, Zerodium lance un programme spécial doté d'un million de dollars et portant sur des exploits 0day pour Tor Browser sur Windows 10 et la distribution Linux Tails. Ce programme est susceptible de se terminer dès que la somme totale d'un million de dollars aura été distribuée.

La récompense pour des exploits sera plus élevée si JavaScript est bloqué dans Tor Browser, avec les deux systèmes d'exploitation hôtes concernés, code d'exécution à distance et élévation de privilèges en local. Le vecteur d'attaque initial doit être une page Web. Les exploits avec contrôle ou manipulation des nœuds Tor du réseau d'anonymisation ne sont pas éligibles.

Zerodium justifie essentiellement ce programme de bug bounty spécial (et limité dans le temps) pour " aider ses clients gouvernementaux à lutter contre la criminalité. " Même si ce n'est pas complètement passé sous silence, c'est tout de même largement éluder le fait que Tor et Tor Browser permettent à des utilisateurs tout à fait légitimes d'améliorer leur sécurité et confidentialité… y compris vis-à-vis de gouvernements répressifs.

Évidemment, les attaques contre Tor et Tor Browser n'ont pas attendu un programme comme celui de Zerodium qui déstabilise cependant toujours autant avec ses annonces à la vue de tous.

Zerodium achète des exploits au prix fort et les revend. Ses clients sont des sociétés dans la défense, technologie et la finance, ainsi que des agences gouvernementales. Autant dire que les éditeurs affectés ne sont pas mis au courant.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1980009
Ben d'accord ...
MiloYiannopoulos Absent Héroïque 909 points
Le #1980017
Faut croire que mes aventures sur GNT et Gab intéressent beaucoup les services antiterrorisme
Le #1980170
MiloYiannopoulos a écrit :

Faut croire que mes aventures sur GNT et Gab intéressent beaucoup les services antiterrorisme


Je connais des devs kernel OpenBSD, deux devs Tor, et le maindev responsable des reproducible builds Debian. Ils ne feraient pas de mal à une mouche, sont athées ou agnostiques, et leur seule infraction à la loi ça doit être d'avoir traversé au feu rouge au passage piéton. Ils sont fichés S. Comme ils voyagent beaucoup pour leur job (et moi aussi pour le mien, et souvent avec eux), bin c'est très, très, très chiant quand t'arrives à Roissy. Fort possible que j'ai ma petite fiche aussi.

Après, je pense que Zerodium risque d'avoir très, très, très mal au fondement dans pas très longtemps. Je dis ça, je dis rien - du genre, faille découverte, donnez l'argent, faille patchée, au revoir, merci pour le pognon.
MiloYiannopoulos Absent Héroïque 909 points
Le #1980343
lidstah a écrit :

MiloYiannopoulos a écrit :

Faut croire que mes aventures sur GNT et Gab intéressent beaucoup les services antiterrorisme


Je connais des devs kernel OpenBSD, deux devs Tor, et le maindev responsable des reproducible builds Debian. Ils ne feraient pas de mal à une mouche, sont athées ou agnostiques, et leur seule infraction à la loi ça doit être d'avoir traversé au feu rouge au passage piéton. Ils sont fichés S. Comme ils voyagent beaucoup pour leur job (et moi aussi pour le mien, et souvent avec eux), bin c'est très, très, très chiant quand t'arrives à Roissy. Fort possible que j'ai ma petite fiche aussi.

Après, je pense que Zerodium risque d'avoir très, très, très mal au fondement dans pas très longtemps. Je dis ça, je dis rien - du genre, faille découverte, donnez l'argent, faille patchée, au revoir, merci pour le pognon.


Oui, visiblement ya pas mal de chercheurs en sécurité qui sont +/- fichés... Comment ils font pour savoir qu'ils sont fichés, par contre ? Simple déduction via justement les contrôles intensifs à la frontière ?
Le #1980391
MiloYiannopoulos a écrit :

lidstah a écrit :

MiloYiannopoulos a écrit :

Faut croire que mes aventures sur GNT et Gab intéressent beaucoup les services antiterrorisme


Je connais des devs kernel OpenBSD, deux devs Tor, et le maindev responsable des reproducible builds Debian. Ils ne feraient pas de mal à une mouche, sont athées ou agnostiques, et leur seule infraction à la loi ça doit être d'avoir traversé au feu rouge au passage piéton. Ils sont fichés S. Comme ils voyagent beaucoup pour leur job (et moi aussi pour le mien, et souvent avec eux), bin c'est très, très, très chiant quand t'arrives à Roissy. Fort possible que j'ai ma petite fiche aussi.

Après, je pense que Zerodium risque d'avoir très, très, très mal au fondement dans pas très longtemps. Je dis ça, je dis rien - du genre, faille découverte, donnez l'argent, faille patchée, au revoir, merci pour le pognon.


Oui, visiblement ya pas mal de chercheurs en sécurité qui sont +/- fichés... Comment ils font pour savoir qu'ils sont fichés, par contre ? Simple déduction via justement les contrôles intensifs à la frontière ?


Bin c'est pas dur: quand tu rentres de voyage (genre Canada, US, etc, n'importe quoi qui nécessite un avion pour y aller), les douaniers te retiennent et "appellent au-dessus" puis en général "ah il a une fiche?" (chuchoté). Y'en a en général pour deux bonnes heures… Bon moi j'en profite pour aller me prendre un café

Après, ça se comprend, pour les gens qui bossent dans la crypto, le nucléaire, la biologie, etc, et donc potentiellement un jour ou l'autre pour l'état. M'enfin ils pourraient faire des "classes" de fiches, genre S1, "cinglé terroriste", S2, "anarchiste black block", S3, "type avec un cerveau qu'on veut pas qu'il s'en aille"…
MiloYiannopoulos Absent Héroïque 909 points
Le #1980411
lidstah a écrit :

MiloYiannopoulos a écrit :

lidstah a écrit :

MiloYiannopoulos a écrit :

Faut croire que mes aventures sur GNT et Gab intéressent beaucoup les services antiterrorisme


Je connais des devs kernel OpenBSD, deux devs Tor, et le maindev responsable des reproducible builds Debian. Ils ne feraient pas de mal à une mouche, sont athées ou agnostiques, et leur seule infraction à la loi ça doit être d'avoir traversé au feu rouge au passage piéton. Ils sont fichés S. Comme ils voyagent beaucoup pour leur job (et moi aussi pour le mien, et souvent avec eux), bin c'est très, très, très chiant quand t'arrives à Roissy. Fort possible que j'ai ma petite fiche aussi.

Après, je pense que Zerodium risque d'avoir très, très, très mal au fondement dans pas très longtemps. Je dis ça, je dis rien - du genre, faille découverte, donnez l'argent, faille patchée, au revoir, merci pour le pognon.


Oui, visiblement ya pas mal de chercheurs en sécurité qui sont +/- fichés... Comment ils font pour savoir qu'ils sont fichés, par contre ? Simple déduction via justement les contrôles intensifs à la frontière ?


Bin c'est pas dur: quand tu rentres de voyage (genre Canada, US, etc, n'importe quoi qui nécessite un avion pour y aller), les douaniers te retiennent et "appellent au-dessus" puis en général "ah il a une fiche?" (chuchoté). Y'en a en général pour deux bonnes heures… Bon moi j'en profite pour aller me prendre un café

Après, ça se comprend, pour les gens qui bossent dans la crypto, le nucléaire, la biologie, etc, et donc potentiellement un jour ou l'autre pour l'état. M'enfin ils pourraient faire des "classes" de fiches, genre S1, "cinglé terroriste", S2, "anarchiste black block", S3, "type avec un cerveau qu'on veut pas qu'il s'en aille"…


"ah il a une fiche?" (chuchoté)
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]