Le broker de failles critiques Zerodium a récemment mis à jour sa liste de prix pour les exploits, failles et zero day recherchés, que ce soit sur les OS mobiles ou non, les applications mobiles et les environnements serveurs.
La récompense ultime sur les mobiles est toujours de 1,5 million de dollars ; elle concerne un RJB (Remote Jailbreak with Persistence) en zéro clic sur iOS. Mais la nouveauté c’est aussi et surtout la recherche de failles sur les applications de messagerie mobile : WhatsApp, Viber, Facebook Messenger, Telegram et Signal. En l’occurrence, Zerodium recherche toutes les failles de sécurité permettant la prise de contrôle à distance et/ou une élévation de privilèges sur ces applications.
Pour cela, il rémunère jusqu’à 500 000 dollars, en fonction bien entendu de la faille en question. Zerodium se vante d’ailleurs de se focaliser sur les failles hautement critiques mais d’être aussi celui qui propose les récompenses les plus élevées du marché. Ces tarifs sont d’ailleurs la preuve de l’importance des applications de messagerie mobile. En guise de comparaison, le prix le plus haut dans la catégorie OS de bureau et serveurs est de 300á000 dollars ; pour une faille permettant l’exécution de code à distance sur Windows. En effet, les WhatsApp, Messenger et consorts sont devenues extrêmement sensibles que ce soit pour les entreprises ou pour les gouvernements.