Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

La société Zerodium Offre 1 million de dollars pour des exploits Zero-day dans le navigateur TOR qui seront revendu aux Gouvernements

13 Septembre 2017 , Rédigé par nicko Publié dans #informatique

Il semble que les exploits Zero-day du navigateur Tor ont une forte demande en ce moment, à un point tel, qu'une société est prête à payer UN MILLION de dollars.

La société Zerodium Offre 1 million de dollars pour des exploits Zero-day dans le navigateur TOR qui seront revendu aux Gouvernements

 

Zerodium est une société spécialisée dans l'acquisition et la revente d'exploits Zero-day.

 

La société vient d'annoncer qu'elle paiera jusqu'à 1,000,000 de dollars pour des exploits Zero-day. pour le populaire navigateur Tor sur Linux Tails et sur le système d'exploitation Windows.

Les utilisateurs du navigateur Tor devraient prendre note de cette nouvelle comme un avertissement , en particulier ceux qui utilisent Tails pour protéger leur vie privée.

La plate-forme d'acquisition d'exploit Zero-day a également publié des règles et des détails de paiement sur son site Web, annonçant que le paiement pour un exploit dans Tor sans JavaScript vaut le double que ceux avec JavaScript activé.

La société a également clairement mentionné que l'exploit doit utiliser une vulnérabilité d'exécution de code à distance, le vecteur d'attaque initial devrait être une page Web et devrait fonctionner avec la dernière version de Tor.

De plus, l'exploit Zero-day de Tor doit fonctionner sans nécessiter d'interaction avec l'utilisateur, à l'exception des victimes pour visiter une page Web.

D'autres vecteurs d'attaque tels que la livraison par un document malveillant ne sont pas éligibles à cette prime, mais ZERODIUM peut à son entière discrétion, faire une offre distincte pour acquérir de tels exploits.

 

Zerodium va vendre la vulnérabilité Zero-day aux Agences d'Application de la loi.

Bien que le marché des exploits Zero-day ait longtemps été une entreprise lucrative pour les entreprises privées qui offrent plus régulièrement  des primes  pour les vulnérabilités non divulguées par les grandes entreprises technologiques. Zerodium dit qu'il veut revendre les exploits du navigateur Tor aux organismes d'application de la loi pour lutter contre le crime.

Dans une FAQ, la société a admis qu'elle vendrait les Zero-day de Tor acquis aux organismes d'application de la loi et éventuellement aux entreprises commerciales de logiciels malveillants qui vendent des logiciels espions aux gouvernements.

"Dans de nombreux cas, Tor est utilisé par des personnes mauvaises pour
mener des activités telles que le trafic de drogue ou la maltraitance 
d'enfants. Nous avons lancé cette prime spéciale pour un Zero-day dans 
le navigateur Tor pour aider nos clients gouvernementaux à lutter contre
la criminalité et rendre le monde meilleur et plus sûr pour tous ", 
a déclaré Zerodium.

En réponse au programme de primes de Zerodium, Tor Project affirme que violer la sécurité de son logiciel d'anonymat risquera peut-être de mettre en danger de nombreux utilisateurs, y compris des défenseurs des droits de l'homme, des militants, des avocats et des chercheurs, qui en dépendent.

La fondation à but non lucratif demande également aux chercheurs et aux pirates informatiques de divulguer de manière responsable les vulnérabilités de Tor via son programme de primes de bogues récemment lancé.

    "Nous pensons que le montant de la prime est un témoignage de la 
sécurité que nous fournissons. Nous pensons qu'il est dans le meilleur
intérêt de tous les utilisateurs de Tor, y compris les organismes 
gouvernementaux, que les vulnérabilités nous soient divulguées grâce à 
notre propre générosité," 
a déclaré un porte-parole de Tor Project à The Hacker News.

    "Plus de 1,5 million de personnes dépendent de Tor tous les jours pour protéger leur vie privée en ligne, et pour certains c'est la vie ou la mort. Participer au programme de Zerodium mettrait en jeu la vie de nos utilisateurs les plus en danger".

 Paiements pour des exploits Zero-day RCE pour le navigateur Tor

Voici la liste des paiements de Zerodium pour les exploits du navigateur TOR:

    RCE et LPE à Root / SYSTEM pour Tor Browser sur Tails 3.x (64 bits) et sur Windows 10 RS3 / RS2 (64 bits) sans JavaScript: 250 000 $
    Seulement RCE (sans LPE) pour Tor Browser sur Tails 3.x (64bit) et sur Windows 10 RS3 / RS2 (64 bits) sans JavaScript: 185 000 $
    RCE + LPE à Root / SYSTEM pour Tor Browser sur Tails 3.x (64bit) et sur Windows 10 RS3 / RS2 (64 bits) avec JavaScript: 125 000 $
    Seul RCE (sans LPE) pour Tor Browser sur Tails 3.x (64 bits) et sur Windows 10 RS3 / RS2 (64 bits) avec JavaScript: 85 000 $
    RCE et LPE à Root / SYSTEM pour Tor Browser sur Tails 3.x (64bit) OU sur Windows 10 RS3 / RS2 (64 bits) sans JavaScript: 200 000 $
    Seulement RCE (sans LPE) pour Tor Browser sur Tails 3.x (64bit) OU sur Windows 10 RS3 / RS2 (64 bits) sans JavaScript: 175 000 $
    RCE et LPE à Root / SYSTEM pour Tor Browser sur Tails 3.x (64bit) OU sur Windows 10 RS3 / RS2 (64 bits) avec JavaScript: 100 000 $
    Seulement RCE (sans LPE) pour Tor Browser sur Tails 3.x (64 bits) OU sur Windows 10 RS3 / RS2 (64 bits) avec JavaScript: 75 000 $

Les intéressés peuvent soumettre leurs exploits jusqu'au 30 novembre 2017 à 18h00. La société note également que la prime peut être résiliée avant son expiration si le paiement total aux chercheurs atteint un million de dollars (1 000 000 $).

 

Source: TheHackerNews

Partager cet article

Repost 0
Pour être informé des derniers articles, inscrivez vous :

Commenter cet article