1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    février 2017
    Messages
    565
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 565
    Points : 19 079
    Points
    19 079

    Par défaut Zerodium offre jusqu’à 45 000 dollars de récompense

    Zerodium offre jusqu’à 45 000 dollars de récompense
    Pour des rapports de failles zero-day dans Linux

    Une startup qui achète des exploits zero-day propose d’offrir jusqu’à 45 000 dollars de récompense pour ceux qui permettent de tirer avantage de vulnérabilités d’élévation de privilège (LPE) dans Linux. Des distributions populaires comme Ubuntu, Debian ou Fedora sont visées. Zerodium, l’entreprise dont il est question ici, a déjà eu à payer jusqu’à 1,5 million de dollars ; tout dépend de la sécurité de la plateforme visée ainsi que de la demande sur le marché. Il faut dire que l’entreprise fait uniquement l’acquisition d’exploits totalement fonctionnels suivant un processus bien défini.

    Nom : process.png
Affichages : 2106
Taille : 68,1 Ko

    Si le programme est bien connu de la communauté des hackers, il faut dire que ses produits, résultat du travail des chercheurs, demeurent en général secrets. Et pour cause, Zerodium, l’entreprise fondée en 2015 et basée à Washington, intercepte les chercheurs en premier grâce à des incitatifs financiers substantiels et revend les exploits à des agences gouvernementales intéressées par d'éventuelles failles dans des systèmes en leur possession. Les failles LPE sont particulièrement prisées dans des contextes comme ceux-ci puisqu’elles permettent à un attaquant d’accéder à des zones d’un système en principe prohibées.

    Zerodium procède en réalité à une revue à la hausse de la récompense de son programme de bug bounty pour des vulnérabilités zero-day dans Linux. Jusqu’ici, la barre était élevée à 30 000 dollars, ce qui suggère une augmentation de la demande d’exploits de ce type dans son carnet client. L’offre arrive avec une date d’expiration fixée au 31 mars 2018.

    Nom : Announcement.jpg
Affichages : 1466
Taille : 24,5 Ko

    L’an dernier, la startup avait mis jusqu’à 1 million de dollars sur la table pour récompenser des exploits contre la plateforme Tor. L’offre a expiré en décembre dernier et s’étalait sur trois mois. D’habitude, l’entreprise met jusqu’à 100 000 dollars de récompense pour des failles dans la plateforme d’anonymisation. En 2017, Anglais et Américains se sont fait entendre à plusieurs reprises pour appeler à la mise en place de portes dérobées à l’usage exclusif des forces de l’ordre. Zerodium en avait alors profité pour attirer les chercheurs en sécurité avec une offre allant jusqu’à 500 000 dollars pour des failles dans des applications de messagerie populaires comme iMessage, Telegram ou WhatsApp.

    Source

    Zerodium

    Votre opinion

    Les incitatifs financiers sont-ils suffisants pour vous amener à envisager une reconversion comme chercheur en sécurité ?

    Voir aussi

    Google fait le bilan de ses programmes de chasse aux bogues, 2,9 millions de dollars déboursés en 2017
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Nb
    Nb est déconnecté
    Membre actif
    Profil pro
    Inscrit en
    décembre 2003
    Messages
    90
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 90
    Points : 248
    Points
    248

    Par défaut

    C'est incroyable que ce genre de choses puisse légalement exister.
    Le pire étant qu'ils trouvent des personnes pourtant pas idiotes, mais sans éthique, qui ont la vue assez basse pour se faire enfler en leur vendant des failles tout en sciant la branche sur laquelle ils sont assis.

  3. #3
    Membre actif
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    mars 2011
    Messages
    70
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mars 2011
    Messages : 70
    Points : 245
    Points
    245

    Par défaut

    Ca devrai être illégal de faire des choses pareilles.

  4. #4
    Membre confirmé
    Profil pro
    Inscrit en
    novembre 2009
    Messages
    290
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : novembre 2009
    Messages : 290
    Points : 528
    Points
    528

    Par défaut Le titre?

    Je ne comprends pas le titre: "des rapports de failles zero-day" ?
    Pourquoi zero-day?
    Si la faille n'est pas zero-day elle est connue donc on ne peut plus la "rapporter"?

  5. #5
    Membre éprouvé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2007
    Messages
    606
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juillet 2007
    Messages : 606
    Points : 1 056
    Points
    1 056

    Par défaut

    C'est incroyable que ce genre de choses puisse légalement exister
    Que ce soit légal cela n'a rien de choquant. Que des agences gouvernementales payent des entreprises privées qui garderont secret les failles de sécurité l'est beaucoup plus. Cela veux dire, ni plus ni moins, que l'état paye des entreprises qui laissent des failles de sécurités dans les système (voire sponsorise les backdoor) avec l'argent des citoyens mettant ainsi en péril la sécurité du pays ou du moins des citoyens... D'autant plus qu'après, un autre pays "enemis", n'a qu'a repayer cette même entreprise pour récupérer ces failles.
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  6. #6
    Membre extrêmement actif
    Profil pro
    Développeur
    Inscrit en
    mars 2012
    Messages
    1 648
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur
    Secteur : Communication - Médias

    Informations forums :
    Inscription : mars 2012
    Messages : 1 648
    Points : 2 717
    Points
    2 717

    Par défaut

    Nom : dt180131.gif
Affichages : 387
Taille : 121,7 Ko



    Nom : dt130221.gif
Affichages : 387
Taille : 113,2 Ko
    Si la réponse vous a aidé, pensez à cliquer sur +1

  7. #7
    Nb
    Nb est déconnecté
    Membre actif
    Profil pro
    Inscrit en
    décembre 2003
    Messages
    90
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 90
    Points : 248
    Points
    248

    Par défaut

    Citation Envoyé par abriotde Voir le message
    Que ce soit légal cela n'a rien de choquant. Que des agences gouvernementales payent des entreprises privées qui garderont secret les failles de sécurité l'est beaucoup plus. Cela veux dire, ni plus ni moins, que l'état paye des entreprises qui laissent des failles de sécurités dans les système (voire sponsorise les backdoor) avec l'argent des citoyens mettant ainsi en péril la sécurité du pays ou du moins des citoyens... D'autant plus qu'après, un autre pays "enemis", n'a qu'a repayer cette même entreprise pour récupérer ces failles.
    Et bien moi ca me pose un problème que ça soit légal. Car tu donnes un pouvoir immense à une bande de gars dont tu ne sais presque rien. Et effectivement, tu as raison, ils peuvent magouiller avec des etats qui n'ont pas plus de morales qu'eux, mais aussi favoriser l'espionnage industriel, donner des moyens d'actions à des fanatiques...etc.
    C'est pas nouveau, on laisse faire ca un peu partout. Mais la différence c'est que souvent ca arrive à des boites qui a un moment ont contribué à faire énormément avancer un domaine (ce qui ne les rend pas moins dangereuses) et donc l'argent et le pouvoir qu'elles concentrent s'inscrivent dans une certaine logique (c'est pas pour ça qu'il ne faut rien faire).
    Eux dès le depart on sait qu'on a affaire à des parasites qui ont juste trouver comment gagner de l'argent sans rien faire et au détriment de tout ce qui n'est pas eux : les utilisateurs, les etats, les autres entreprises, les mecs qui développent du libre...etc.
    Soit cette boite est une émanation de l’état américain et c'est dangereux, soit elle ne l'est pas et c'est tout aussi dangereux. Du coup, selon moi, ça ne devrait pas pouvoir exister légalement.

  8. #8
    Membre expert
    Homme Profil pro
    Développeur .NET
    Inscrit en
    novembre 2009
    Messages
    1 555
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : novembre 2009
    Messages : 1 555
    Points : 3 742
    Points
    3 742

    Par défaut

    Citation Envoyé par Nb Voir le message
    Et bien moi ça me pose un problème que ça soit légal.
    Je vois pas ce qui pourrait être illégale sur des produits open source.
    Autant sur du propriétaire il y a souvent des clauses visant à ne pas faire de rétro-ingéniérie et à fortiori du hacking, mais alors pour l'open source c'est le principe même.
    Faire de l'argent avec l'utilisation du code source n'est pas interdit.

    Sur le business model, c'est le principe de l'intermédiaire.

  9. #9
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    juin 2013
    Messages
    3 716
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2013
    Messages : 3 716
    Points : 959
    Points
    959
    Billets dans le blog
    9

    Par défaut

    et rien n’empêche les entreprises éditrice ou les communautés open source de payer pour avoir ces failles afin de les corriger par la suite.

    Autant sur du propriétaire il y a souvent des clauses visant à ne pas faire de rétro-ingéniérie et à fortiori du hacking, mais alors pour l'open source c'est le principe même.
    Faire de l'argent avec l'utilisation du code source n'est pas interdit.
    pas besoin du code source ou de faire du rétro engineering pour découvrir une faille, comme je le comprend si tu découvre une faille dans whatapps ou dans windows 10 tu peut la vendre.

  10. #10
    Membre éprouvé

    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2013
    Messages
    452
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Conseil

    Informations forums :
    Inscription : octobre 2013
    Messages : 452
    Points : 1 207
    Points
    1 207

    Par défaut

    Si ils visent Linux, ils ne visent pas les particuliers
    Mais ils veulent s'attaquer aux serveurs et clairement vont encourager l'espionnage industriel.
    Et là c'est grave.

    Ca va mener à une course aux armement des entreprises dans un premier temps
    Et eux ils se feront un plaisir de vendre des armes numériques à tout le monde
    Et on se retrouvera dans une jungle où tout sera permis, voler les fichiers clients, détruire le SI du concurrent gênant , mettre le si hors service...

    Dans une guerre c'est celui qui vend des armes aux belligérants, qui gagnent le plus de la guerre
    Consultez mes articles sur l'accessibilité numérique :

    Comment rendre son application SWING accessible aux non voyants
    Créer des applications web accessibles à tous

    YES WE CAN BLANCHE !!!

    Rappelez-vous que Google est le plus grand aveugle d'Internet...
    Plus c'est accessible pour nous, plus c'est accessible pour lui,
    et meilleur sera votre score de référencement !

  11. #11
    Nb
    Nb est déconnecté
    Membre actif
    Profil pro
    Inscrit en
    décembre 2003
    Messages
    90
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 90
    Points : 248
    Points
    248

    Par défaut

    Je vois pas ce qui pourrait être illégale sur des produits open source.
    Autant sur du propriétaire il y a souvent des clauses visant à ne pas faire de rétro-ingéniérie et à fortiori du hacking, mais alors pour l'open source c'est le principe même.
    Faire de l'argent avec l'utilisation du code source n'est pas interdit.
    Bien sur que c'est légal, mais je trouve que c'est extrêmement dangereux de laisser une boite collecter des informations aussi sensibles sans qu'elle n'ait aucun compte à rendre à personne. C'est assez proche de la vente d'arme (autant sur le fond que sur la forme), c'est légal dans certains pays, c'est légal pour tous les etats, mais c'est pas pour ca que c'est normal que ca le soit.

  12. #12
    Membre régulier Avatar de pascaldm
    Profil pro
    Expert sécurité informatique
    Inscrit en
    février 2013
    Messages
    24
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Expert sécurité informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : février 2013
    Messages : 24
    Points : 105
    Points
    105

    Par défaut

    Légal ou illégal, moral ou immoral, il est pratiquement impossible d'empêcher l'existence du marché du 0 day. La sécurité offensive et défensive du numérique est un enjeu stratégique pour de nombreux pays dont principalement les suivants : Chine, USA, Russie, UK, Israël, Canada, Inde, Iran, Brésil, Japon et bien sûr la France.

    C'est justement en essayant d'enrayer ce marché du 0 day avec l'amendement aux accords Wassenar en 2014 relatifs aux armes numériques que VUPEN a déménagé aux US et créé ZERODIUM. Maintenant cette société est hors de contrôle de la France ou de l'UE et fournit principalement les USA. L'exemple malencontreux montre que l'UE a été naïf sur ce sujet en favorisant une fuite de cette activité aux USA au lieu de rechercher un consensus international sur ce sujet.

    De facto, toute tentative pour enrayer le marché stratégique des armes cyber sera vain. Il existera toujours un marché des armes numériques comme celui des armes conventionnelles, que ce soit ouvertement ou non. Il ne s'agit que d'une transposition numérique de ce qui existe déjà mais applicable également aux intérêts économiques sur la scène mondiale.

    C'est pour cela qu'il est important de réguler le cyberespace en définissant de nouvelles normes internationales de comportement des Etats pour préserver les intérêts de chacun et encadrer les actions informatiques offensives. La France est active sur ce plan dans le cadre du Groupe Gouvernemental d'Experts (GGE) de l'ONU en matière de régulation internationale de la cybersécurité. L'idée principale est de définir la licéité des moyens de réponse à une cyberoffensive (légitime défense) et de l'applicabilité du droit international aux opérations cyber dans un conflit. Les principales oppositions proviennent de nos alliés anglo-saxons.

    Aujourd'hui, le problème politique majeur est l'absence d'une vision commune de la part des principales puissances cyber. Ces questions sont à l'ordre du jour à l'ONU, au G20 et au G7 mais aussi dans le cadre de l'Alliance Atlantique.

    Pour se faire une idée sur ces sujets, je recommande la lecture du point de vue de l'Etat français sur ces questions dans le document de Revue Stratégique de Cyberdéfense publié par le SGDSN http://www.sgdsn.gouv.fr/evenement/r...-cyberdefense/

Discussions similaires

  1. Easy Trade Up : Microsoft offre jusqu'à 100 euros de récompense
    Par Stéphane le calme dans le forum Windows 10
    Réponses: 8
    Dernier message: 23/10/2015, 21h47
  2. Réponses: 2
    Dernier message: 10/10/2014, 08h15
  3. Réponses: 0
    Dernier message: 25/04/2014, 21h20
  4. Microsoft offre 260 000 dollars pour un concours de sécurité
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 0
    Dernier message: 30/07/2012, 11h51
  5. Réponses: 10
    Dernier message: 05/02/2011, 22h58

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo