Des outils qui permettent les pirates gouvernementaux qui tentent de s’introduire dans les iPhones et les téléphones Android, les logiciels populaires comme les navigateurs Chrome et Safari, et les applications de chat comme WhatsApp et iMessage, valent désormais des millions de dollars – et leur prix s’est multiplié au cours des dernières années à mesure que ces produits sont de plus en plus difficiles à obtenir. pirater.
Lundi, la startup Crowdfense a publié sa liste de prix mise à jour pour ces outils de piratage, communément appelés « jours zéro », car ils s’appuient sur des vulnérabilités non corrigées dans des logiciels inconnues des fabricants de ces logiciels. Des entreprises comme Crowdfense et l’un de ses concurrents Zerodium prétendent acquérir ces zero-day dans le but de les revendre à d’autres organisations, généralement des agences gouvernementales ou des sous-traitants gouvernementaux, qui prétendent avoir besoin d’outils de piratage pour traquer ou espionner les criminels.
Crowdfense propose désormais entre 5 et 7 millions de dollars pour les Zero Days permettant de s’introduire dans les iPhones, jusqu’à 5 millions de dollars pour les Zero Days afin de s’introduire dans les téléphones Android, jusqu’à 3 millions de dollars et 3,5 millions de dollars pour les Zero Days de Chrome et Safari respectivement, et 3 $. à 5 millions de dollars pour les Zero Days de WhatsApp et iMessage.
Dans sa précédente liste de prix, publiée en 2019, les paiements les plus élevés proposés par Crowdfense étaient de 3 millions de dollars pour les Zero Days sur Android et iOS.
L’augmentation des prix intervient alors que des entreprises comme Apple, Google et Microsoft rendent plus difficile le piratage de leurs appareils et applications, ce qui signifie que leurs utilisateurs sont mieux protégés.
« Il devrait être plus difficile d’exploiter chaque année les logiciels et les appareils que nous utilisons », a déclaré Dustin Childs, responsable de la sensibilisation aux menaces chez Trend Micro ZDI. Contrairement à CrowdFense et Zerodium, ZDI rémunère les chercheurs pour acquérir des vulnérabilités Zero Day, puis les signale aux entreprises concernées dans le but de corriger les vulnérabilités.
« À mesure que de plus en plus de vulnérabilités Zero Day sont découvertes par les équipes de renseignement sur les menaces comme celles de Google et que les protections des plateformes continuent de s’améliorer, le temps et les efforts requis de la part des attaquants augmentent, ce qui entraîne une augmentation du coût de leurs découvertes », a déclaré Shane Huntley, responsable de Le groupe d’analyse des menaces de Google, qui suit les pirates informatiques et l’utilisation des jours zéro.
Dans un rapport publié le mois dernier, Google a déclaré avoir vu des pirates informatiques utiliser 97 vulnérabilités Zero Day en 2023. Les fournisseurs de logiciels espions, qui travaillent souvent avec des courtiers Zero Day, étaient responsables de 75 % des vulnérabilités Zero Day ciblant les produits Google et Android. selon l’entreprise.
Les acteurs du secteur du Zero Day s’accordent à dire que la tâche consistant à exploiter les vulnérabilités devient de plus en plus difficile.
David Manouchehri, un analyste en sécurité connaissant le marché du Zero Day, a déclaré que « des cibles difficiles comme le Pixel de Google et l’iPhone sont de plus en plus difficiles à pirater chaque année. Je m’attends à ce que le coût continue d’augmenter considérablement avec le temps.
« Les mesures d’atténuation mises en œuvre par les fournisseurs fonctionnent, et cela rend l’ensemble du commerce beaucoup plus compliqué, beaucoup plus long, et cela se reflète donc clairement dans le prix », a déclaré Paolo Stagno, directeur de la recherche chez Crowdfense. TechCrunch.
Contactez-nous
Connaissez-vous d’autres courtiers zero-day ? Ou des fournisseurs de logiciels espions ? Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram, Keybase et Wire @lorenzofb, ou par e-mail. Vous pouvez également contacter TechCrunch via SecureDrop.
Stagno a expliqué qu’en 2015 ou 2016, il était possible pour un seul chercheur de trouver un ou plusieurs jours zéro et de les développer en un exploit à part entière ciblant les iPhones ou les Android. Aujourd’hui, dit-il, « cette chose est presque impossible », car elle nécessite une équipe de plusieurs chercheurs, ce qui entraîne également une hausse des prix.
Crowdfense propose actuellement les prix les plus élevés connus du public à ce jour en dehors de la Russie, où une société appelée Operation Zero a annoncé l’année dernière qu’elle était prête à payer jusqu’à 20 millions de dollars pour des outils permettant de pirater les iPhones et les appareils Android. Les prix en Russie pourraient cependant être gonflés en raison de la guerre en Ukraine et des sanctions qui en découlent, ce qui pourrait décourager ou carrément empêcher les gens de traiter avec une entreprise russe.
Hors de la vue du public, il est possible que les gouvernements et les entreprises paient des prix encore plus élevés.
« Les prix que Crowdfense propose aux chercheurs pour des Chrome individuels [Remote Code Execution] et [Sandbox Escape] les exploits sont inférieurs au taux du marché par rapport à ce que j’ai vu dans l’industrie du jour zéro », a déclaré Manouchehri, qui travaillait auparavant chez Linchpin Labs, une startup qui se concentrait sur le développement et la vente de jours zéro. Linchpin Labs a été acquis par l’entrepreneur américain de défense L3 Technologies (maintenant connu sous le nom de L3Harris) en 2018.
Alfonso de Gregorio, le fondateur de Zeronomicon, une startup basée en Italie qui acquiert des produits Zero Day, a accepté, déclarant à TechCrunch que les prix pourraient « certainement » être plus élevés.
Les jours zéro ont été utilisés dans le cadre d’opérations d’application de la loi approuvées par les tribunaux. En 2016, le FBI a utilisé un logiciel zero-day fourni par une startup appelée Azimuth pour s’introduire dans l’iPhone de l’un des tireurs qui ont tué 14 personnes à San Bernardino, selon le Washington Post. En 2020, Carte mère a révélé que le FBI – avec l’aide de Facebook et d’une société tierce anonyme – avait utilisé un jour zéro pour retrouver un homme qui a ensuite été reconnu coupable de harcèlement et d’extorsion de jeunes filles en ligne.
Il y a également eu plusieurs cas où des logiciels Zero Day et des logiciels espions auraient été utilisés pour cibler des dissidents des droits humains et des journalistes en Éthiopie, au Maroc, en Arabie Saoudite et aux Émirats arabes unis, entre autres pays ayant un mauvais bilan en matière de droits humains. Des cas similaires d’abus présumés ont également eu lieu dans des pays démocratiques comme la Grèce, le Mexique, la Pologne et l’Espagne. (Ni Crowdfense, Zerodium ou Zeronomicon n’ont jamais été accusés d’être impliqués dans des affaires similaires.)
Les courtiers Zero Day, ainsi que les sociétés de logiciels espions comme NSO Group et Hacking Team, ont souvent été critiqués pour avoir vendu leurs produits à des gouvernements peu recommandables. En réponse, certains d’entre eux s’engagent désormais à respecter les contrôles à l’exportation afin de limiter les abus potentiels de la part de leurs clients.
Stagno a déclaré que Crowdfense suit les embargos et les sanctions imposés par les États-Unis, même si la société est basée aux Émirats arabes unis. Par exemple, Stagno a déclaré que l’entreprise ne vendrait pas à l’Afghanistan, à la Biélorussie, à Cuba, à l’Iran, à l’Irak, à la Corée du Nord, à la Russie, au Soudan du Sud, au Soudan et à la Syrie – tous figurant sur les listes de sanctions américaines.
« Tout ce que font les États-Unis, nous sommes sur le qui-vive », a déclaré Stagno, ajoutant que si un client existant figurait sur la liste des sanctions américaines, Crowdfense l’abandonnerait. « Toutes les entreprises et les gouvernements directement sanctionnés par les Etats-Unis sont exclus. »
Au moins une entreprise, le consortium de logiciels espions Intellexa, figure sur la liste de blocage particulière de Crowdfense.
« Je ne peux pas vous dire s’il a été un de nos clients et s’il a cessé de l’être », a déclaré Stagno. « Cependant, en ce qui me concerne, Intellexa ne peut pas être un de nos clients à l’heure actuelle. »
En mars, le gouvernement américain a annoncé des sanctions contre le fondateur d’Intellexa, Tal Dilian, ainsi que contre un de ses associés. C’était la première fois que le gouvernement imposait des sanctions à des individus impliqués dans l’industrie des logiciels espions. Intellexa et sa société partenaire Cytrox ont également été sanctionnées par les États-Unis, ce qui a rendu plus difficile la poursuite des activités des entreprises et de leurs dirigeants.
Ces sanctions ont suscité des inquiétudes dans l’industrie des logiciels espions, comme l’a rapporté TechCrunch.
Le logiciel espion d’Intellexa aurait été utilisé, entre autres, contre le membre du Congrès américain Michael McCaul, le sénateur américain John Hoeven et la présidente du Parlement européen Roberta Metsola.
De Gregorio, le fondateur de Zeronomicon, a refusé de dire à qui l’entreprise vend ses produits. Sur son site, l’entreprise a publié un code d’éthique des affaires, qui inclut le contrôle des clients dans le but d’éviter de faire affaire « avec des entités connues pour violer les droits de l’homme » et de respecter les contrôles à l’exportation.