Une startup vous paiera jusqu’à 3 millions si vous découvrez une vulnérabilité iOS ou Android
Si vous trouvez une vulnérabilité Android de jour zéro (c’est-à-dire une erreur ou une vulnérabilité inconnue de Google), une société appelée Crowdfense vous paiera jusqu’à 3 millions de dollars pour cette information.
A lire aussi : Utiliser un annuaire inversé pour identifier un numéro de téléphone
Le seul problème, c’est qu’on ne sait pas ce que Crowdfense va faire avec la découverte. La société admet qu’elle vendrait la décision à d’autres organisations, mais les noms sont inconnus et dans quel but.
Le site Web de Crowdfense décrit l’entreprise comme “un centre de recherche sur les vulnérabilités leader mondial” qui “évalue les capacités de cyberdéfense active les plus avancées” et les “offre ensuite à un groupe soigneusement sélectionné de clients institutionnels mondiaux“. En d’autres termes, l’entreprise cherche des failles dans les systèmes et vend ensuite l’information à des organisations non divulguées.
A lire également : Shazam garde le microphone ouvert et continue d'écouter même lorsque vous avez fermé l'application sur votre Mac.
Bien que Crowdfense soit probablement une entreprise éthique qui n’utilise que l’information d’exploitation fournie pour faire le bien, il est facile d’imaginer une entreprise dans sa position de vendre des vulnérabilités logicielles au plus offrant et de mettre ainsi en danger quiconque utilise le logiciel.
À titre de comparaison, Google offre également des récompenses pour la détection des failles de sécurité Android, mais il s’agit de milliers de dollars, pas de millions.
Crowdfense ne cherche pas seulement des bugs Android. Vous paierez des centaines de milliers, voire des millions de dollars pour des exploits zero-day qui affectent iOS, Windows et macOS.
Selon Andrea Zapparoli Manzoni, directeur de Crowdfense, la société a 10 millions de dollars déposés dans des banques, qu’elle contrôle depuis son siège aux Emirats arabes unis.
Manzoni admet que les clients de Crowdfense sont des agences de “police ou de renseignement” à la recherche d’outils de “collecte d’informations”. Il semble donc que les échecs vont aux institutions gouvernementales… mais quels gouvernements ? Carte mère