Le prix des vulnérabilités Zero-day sur les systèmes d’exploitation Android et iOS connaît une hausse significative, en raison de l’amélioration constante de leur sécurité.
En effet, au fil du temps, ces plateformes mobiles ont renforcé leurs mesures de protection, rendant plus difficile la découverte de failles par les chercheurs en sécurité. Cette tendance à la hausse des prix des Zero-day reflète la valeur accrue de ces vulnérabilités, qui sont hautement recherchées par les pirates informatiques et les agences de renseignement. Ainsi, les acteurs malveillants sont prêts à payer des sommes importantes pour exploiter ces failles, ce qui incite les chercheurs à demander des récompenses plus élevées pour leurs découvertes.
20 millions de dollars pour une chaîne de zero-days
Comme reporté par Techcrunch dans l’article mis en référence ci-dessous, les techniques de piratage ciblant des applications telles que WhatsApp peuvent valoir aujourd’hui des millions de dollars. En effet, à cause des avancées dans les mécanismes de sécurité et les mesures d’atténuation, le piratage des téléphones mobiles – qu’ils fonctionnent sous iOS ou Android – est devenu une entreprise coûteuse.
Une société russe spécialisée dans l’achat de « zero-days » – des vulnérabilités de sécurité dans les logiciels qui sont inconnues du développeur du produit concerné – a offert pas moins de 20 millions de dollars pour des chaînes de bugs qui permettraient à leurs clients, décrits comme « des organisations privées et gouvernementales russes uniquement », de compromettre à distance des téléphones iOS et Android. Ce prix est probablement influencé par le fait qu’il y a moins de chercheurs prêts à collaborer avec la Russie alors que l’invasion de l’Ukraine se poursuit, et que les clients gouvernementaux russes sont probablement prêts à payer une prime dans les circonstances actuelles.
Cependant, même sur les marchés en dehors de la Russie, y compris uniquement pour les bugs dans des applications spécifiques, les prix ont augmenté.
Qu’est qu’un Zero-day?
Un “Zero-day”, également écrit “zero-day” ou “0-day”, fait référence à une vulnérabilité de sécurité informatique qui est exploitée par des attaquants avant que les développeurs de logiciels ou les fournisseurs de systèmes d’exploitation n’aient eu l’opportunité de la corriger. Le terme “Zero-day” signifie que les développeurs n’ont eu aucun jour (zéro jour) pour réagir et publier un correctif avant que l’attaque ne se produise.
Les vulnérabilités Zero-day sont bien sûr extrêmement précieuses pour les attaquants, car elles leur permettent de cibler des systèmes sans que les défenses de sécurité soient préparées pour les contrer. Une fois qu’une vulnérabilité Zero-day est exploitée, elle peut causer des dommages significatifs, notamment la compromission de données, le contrôle de systèmes informatiques ou l’installation de logiciels malveillants.
Voici quelques caractéristiques principales à propos des vulnérabilités Zero-day :
- Non divulguées : Les vulnérabilités Zero-day sont généralement inconnues du public et des développeurs de logiciels jusqu’à ce qu’elles soient découvertes en cours d’exploitation par des attaquants.
- Exploitations discrètes : Les attaquants cherchent souvent à exploiter discrètement des vulnérabilités Zero-day afin de maintenir l’accès non autorisé aux systèmes aussi longtemps que possible, avant que la vulnérabilité ne soit détectée et corrigée.
- Valeur élevée : Les vulnérabilités Zero-day sont hautement prisées sur le marché clandestin des exploits, où elles sont achetées et vendues à des fins malveillantes. Les gouvernements, les groupes de cybercriminels et les entreprises de sécurité peuvent être intéressés par leur acquisition.
- Risque accru : Les vulnérabilités Zero-day représentent un risque significatif pour la sécurité des systèmes, car elles sont difficiles à détecter et à défendre tant qu’un correctif n’est pas disponible.
Pour en savoir plus
(Re)découvrez également:
💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.
