Plateforme premium pour l'achat d'exploits 0day, Zerodium a annoncé le mois dernier payer jusqu'à un demi-million de dollars pour des vulnérabilités critiques affectant des applications de messagerie sécurisée. Une introduction dans le cadre de son programme habituel couvrant divers produits, et où un jailbreak à distance persistant d'iOS sans interaction de l'utilisateur est rémunéré 1,5 million de dollars.

Jusqu'à la fin du mois de novembre, Zerodium lance un programme spécial doté d'un million de dollars et portant sur des exploits 0day pour Tor Browser sur Windows 10 et la distribution Linux Tails. Ce programme est susceptible de se terminer dès que la somme totale d'un million de dollars aura été distribuée.

La récompense pour des exploits sera plus élevée si JavaScript est bloqué dans Tor Browser, avec les deux systèmes d'exploitation hôtes concernés, code d'exécution à distance et élévation de privilèges en local. Le vecteur d'attaque initial doit être une page Web. Les exploits avec contrôle ou manipulation des nœuds Tor du réseau d'anonymisation ne sont pas éligibles.

Zerodium justifie essentiellement ce programme de bug bounty spécial (et limité dans le temps) pour " aider ses clients gouvernementaux à lutter contre la criminalité. " Même si ce n'est pas complètement passé sous silence, c'est tout de même largement éluder le fait que Tor et Tor Browser permettent à des utilisateurs tout à fait légitimes d'améliorer leur sécurité et confidentialité… y compris vis-à-vis de gouvernements répressifs.

Évidemment, les attaques contre Tor et Tor Browser n'ont pas attendu un programme comme celui de Zerodium qui déstabilise cependant toujours autant avec ses annonces à la vue de tous.

Zerodium achète des exploits au prix fort et les revend. Ses clients sont des sociétés dans la défense, technologie et la finance, ainsi que des agences gouvernementales. Autant dire que les éditeurs affectés ne sont pas mis au courant.