Crowdfense, une startup basée aux Émirats Arabes Unis, offre jusqu’à 3 millions de dollars à tous ceux qui peuvent offrir un exploit zero-day sur macOS, iOS, Android ou Windows.
Les exploits zero-day sont des bugs ou des vulnérabilités inconnus par les développeurs, en l’occurrence Google, Apple ou Microsoft, et clairement présents sur leurs systèmes d’exploitation. Ces exploits permettent à des entreprises comme Crowdfense d’exploiter ces bugs à leur avantage, par exemple en développant des outils de jailbreak.
Dans ce cas précis, Crowdfense souhaite vendre des détails aux agences d’application de la loi et aux agences de renseignement : « Quand je pense aux agences gouvernementales, je ne pense pas au côté militaire, je pense à la partie civile qui lutte contre le crime, des choses comme ça », a déclaré le PDG de Crowdefense. « Nous nous concentrons uniquement sur des outils conçus pour mener des activités liées à l’application de la loi ou au renseignement, non pour détruire ou dégrader la fonctionnalité et l’efficacité des systèmes cibles, mais seulement pour recueillir des informations utiles aux enquêtes ».
La société n’est intéressée que par les exploits macOS, iOS, Android et Windows et n’est pas intéressée par les exploits pour les appareils IoT, les télécommunications, les infrastructures critiques ou les médias sociaux.
La société prévoit d’adopter une approche très différente de ceux qui recherchent des exploits zero-day. L’objectif est de maximiser la transparence. Cela dit, Crowdfense n’a pas révélé ce qu’elle a l’intention de faire avec de tels exploits. Nous savons seulement que, pour chaque exploit trouvé, un prix de 3 millions de dollars est offert.
Rappelons qu’en 2016, Apple a lancé son propre programme de prime pour la découverte de bugs comme les exploits zero-day. Cependant, le programme a été pratiquement ignoré par tout le monde, car les paiements sur le marché noir et d’autres groupes de hackers sont beaucoup plus élevés que les 200 000 $ d’Apple.
Pendant ce temps, il s’avère que GrayKey, la boîte déjà utilisée par de nombreux policiers aux États-Unis qui vous permet de trouver le mot de passe de l’iPhone en très peu de temps a été hacké par un groupe de pirates qui demande une rançon de 2 bitcoins (environ 15 000 euros) à l’entreprise. Cette partie du code ne semble pas fondamentale et il n’y a pas de risques de sécurité, selon les dires de l’entreprise GrayShift, mais une entreprise de ce type ne devrait jamais se retrouver dans de telles situations.
