Une nouvelle startup basée aux Émirats arabes unis offre jusqu'à 20 millions de dollars pour les outils de piratage qui pourraient aider les gouvernements à pénétrer dans n'importe quel smartphone avec un SMS.
Advanced Security Solutions a été lancée ce mois-ci et propose maintenant certains des prix les plus élevés, au moins publics, sur l'ensemble du marché zéro-jours. Les jours zéro sont des défauts des logiciels qui sont inconnus du développeur affecté au moment de leur découverte. Ces outils peuvent être très utiles pour les pirates, en particulier ceux qui travaillent pour les agences d'application de la loi et de renseignement.
Outre la plus haute prime de 20 millions de dollars, qui s'applique à tout système d'exploitation mobile, la société propose également des primes pour les exploits dans divers logiciels: 15 millions de dollars pour le même type de jours zéro pour les appareils Android et pour les iPhones; 10 millions de dollars pour Windows; 5 millions de dollars pour Chrome; 1 million de dollars pour les navigateurs Safari et Microsoft Edge d'Apple, entre autres.
On ne sait pas qui est derrière l'entreprise et ses clients.
«Nous permettons aux agences gouvernementales, aux services de renseignement et aux forces de l'ordre de fonctionner avec précision sur le champ de bataille numérique», indique le site Web de l'entreprise. «Nous maintenons une coopération continue avec plus de 25 gouvernements et agences de renseignement dans le monde. Nos clients reviennent constamment pour de nouveaux services, reflétant la confiance et la valeur stratégique que nous offrons dans des contextes opérationnels à enjeux élevés, y compris le lutte contre le terrorisme et le contrôle des stupéfiants.»
Le site Web indique également que même si l'entreprise est nouvelle, «elle est dotée exclusivement par des professionnels avec plus de 20 ans d'expérience opérationnelle dans les unités de renseignement d'élite et les entrepreneurs militaires privés.»
Advanced Security Solutions n'a pas répondu à une série de questions, notamment l'OMS finance, possède et dirige l'entreprise, qui sont les clients, ainsi que si l'entreprise a des restrictions éthiques ou légales auto-imposées sur lesquelles les gouvernements à vendre.
Contactez-nous
Avez-vous plus d'informations sur les solutions de sécurité avancées ou d'autres fournisseurs de zéro-jours? À partir d'un appareil non de travail, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur le signal à +1 917 257 1382, ou via Telegram et Keybase @lorenzofb, ou e-mail. Vous pouvez également contacter TechCrunch via SecuredRop.
Un chercheur en sécurité ayant une expérience dans le monde des zéro-jours a déclaré à TechCrunch que les prix offerts par Advanced Security Solutions étaient approximativement conformes au marché actuel.
« Normalement, ces prix annoncés sont dans le parc de balle », a déclaré la personne à TechCrunch sous couvert d'anonymat de parler franchement de l'industrie zéro-jour. La personne a ajouté que la prime de 20 millions de dollars «est faible en fonction de la façon dont vous êtes sans scrupules».
Le chercheur a également averti que, personnellement, il ne s'occuperait pas d'une entreprise qui ne divulgue pas qui est derrière elle, comme dans ce cas. « Je ne pense pas que vous devriez vendre des bugs à quiconque essaie de cacher qui ils sont », a-t-il déclaré.
Le marché des zéro-jours s'est considérablement développé au cours des 10 dernières années, tant en termes de nombre d'entreprises qui y participent, ainsi que des prix offerts.
En 2015, Zerodium, un courtier, tout comme les solutions de sécurité avancées, acquiert également des jours zéro des chercheurs et les revends aux gouvernements, a été parmi les premières entreprises à publier leur liste de prix. À l'époque, la société fondée par le courtier vétéran Exploit Chaouki Bekrar a offert jusqu'à 1 million de dollars pour des outils pour pirater les iPhones. Puis, trois ans plus tard, est venu la foule offrant 3 millions de dollars pour le même type de zéro-jours.
Plus récemment, les prix des zéro-jours ont monté en flèche, en partie parce qu'il y a une demande plus élevée et aussi parce qu'il devient plus difficile de pirater des appareils et des logiciels modernes, grâce aux grandes entreprises technologiques améliorant leur sécurité.
L'année dernière, Crowdfense a publié sa nouvelle liste de prix, qui a offert jusqu'à 7 millions de dollars pour les zéro-jours pour pénétrer dans les iPhones, et 5 millions de dollars pour le même type d'exploits pour Android. Les clients peuvent également acheter des jours zéro pour des applications spécifiques, en particulier les applications de messagerie comme WhatsApp (jusqu'à 8 millions de dollars) et le télégramme (jusqu'à 4 millions de dollars).
Pour sa part, Advanced Security Solutions indique qu'elle offre 2 millions de dollars pour Telegram, Signal et WhatsApp Zero-Days.
La société russe zéro-jour Opération Zero était une valeur aberrante sur le marché, offrant jusqu'à 20 millions de dollars pour le même type d'exploits que les solutions de sécurité avancées recherchent. L'opération Zero est dans une position unique car elle dit qu'elle ne fonctionne qu'avec le gouvernement russe, et pour de nombreux chercheurs aux États-Unis et en Europe, il est illégal de vendre leurs outils de piratage à la Russie, ce qui signifie que l'opération Zero peut avoir plus de mal à trouver ce qu'elle recherche.
Nous cherchons toujours à évoluer, et en fournissant un aperçu de votre point de vue et de vos commentaires sur TechCrunch et notre couverture et nos événements, vous pouvez nous aider! Remplir Cette enquête Pour nous faire savoir comment nous faisons et avoir la chance de gagner un prix en retour!
