Le coût du piratage flambe... à mesure que la sécurité s'améliore

Si de nombreuses entreprises investissent massivement dans leur cybersécurité, il existe également un véritable marché parallèle de la faille logicielle. Et face à des systèmes de plus en plus difficiles à compromettre, les prix s'envolent.

Parmi les acteurs principaux de ce marché, on trouve les brokers, qui rémunèrent les hackers ayant détecté une faille dans un système, pour ensuite revendre cette découverte à de gros clients. C'est le cas de l'entreprise Zerodium, qui a récemment annoncé une hausse des sommes versées aux pirates.

Jusqu'à 2 millions de dollars pour une faille

Partir à la chasse de vulnérabilités peut se révéler très lucratif, en particulier si elles concernent iOS. En effet, Zerodium est désormais prêt à payer 2 millions de dollars (environ 1,75 million d'euros) pour un jailbreak « zéro clic » du système d'exploitation d'Apple, c'est-à-dire, qui ne requiert aucune action de la victime. C'est 500 000 dollars de plus que la somme déboursée auparavant. Pour le même type de faille, mais nécessitant un clic de la cible, Zerodium rémunère à hauteur de 1,5 million de dollars (environ 1,3 million d'euros), contre 1 million précédemment.

D'autres environnements sont également dans le viseur du broker. La société offre ainsi 1 million de dollars (environ 870 000 euros) pour une faille permettant de prendre le contrôle d'une application de messagerie telle que WhatsApp ou iMessage, ou pour une attaque permettant d'exécuter du code à distance sur une machine Windows. Une récompense qui a doublé par rapport à son niveau antérieur.

À qui profite ce business ?

L'envol de ces prix constitue une preuve de la difficulté accrue de détecter ce type de vulnérabilités. Cette pratique soulève toutefois des interrogations : qui se cache derrière les acheteurs de ces failles et dans quel but ? Zerodium affirme ne vendre ses informations qu'à des gouvernements légitimes, notamment dans le but de lutter contre la criminalité et le terrorisme, mais les montants affichés instillent tout de même le doute quant à l'identité et les motivations des clients.

Quoi qu'il en soit, cette économie de la faille informatique doit pousser les acteurs à renforcer leurs mesures de cybersécurité. Et ils auraient sans doute tout intérêt à collaborer avec des hackers « white hat », pour se prémunir contre d'éventuelles futures attaques, potentiellement achetées auprès d'un broker.

Source : Ars Technica

• Les câbles USB-C pourraient bientôt posséder leur propre système d’authentification
• Pornhub : le réseau pirate "3ve" démantelé par le FBI
• Les USA sanctionnent les Russes pour ingérence électorale et piratage informatique