Si vous trouvez une vulnérabilité Android zero-day (c’est-à-dire un bogue inconnu ou une vulnérabilité Google), une société appelée Crowdfense vous paiera jusqu’à 3 millions de dollars pour cette information.
Le seul problème est qu’il n’est pas clair ce que Crowdfense fera de la découverte. La société admet qu’elle vendrait la décision à d’autres organisations, mais les noms et dans quel but sont inconnus.
Le site Web de Crowdfense décrit l’entreprise comme « un centre de recherche sur les vulnérabilités de premier plan au monde » qui « évalue les capacités de cyberdéfense active les plus avancées » puis « les propose à un groupe soigneusement sélectionné de clients institutionnels mondiaux ». En d’autres termes, l’entreprise recherche des failles dans les systèmes et vend ensuite les informations à des organisations non divulguées.
Alors que Crowdfense est susceptible d’être une entreprise éthique qui n’utilise que les informations d’exploitation fournies pour de bon, il est facile d’imaginer une entreprise dans sa position de vendre des vulnérabilités logicielles au plus offrant et de mettre ainsi en danger quiconque utilise le logiciel.
À titre de comparaison, Google offre également des récompenses pour la détection des vulnérabilités de sécurité d’Android, mais il s’agit de milliers de dollars, pas de millions.
Crowdfense ne se contente pas de rechercher les bogues Android.
Vous paierez des centaines de milliers voire des millions de dollars pour des exploits zero-day qui affectent iOS, Windows et macOS.
Selon Andrea Zaparoli Manzoni, directeur de Crowdfense, la société dispose de 10 millions de dollars déposés dans des banques qu’elle contrôle depuis son siège aux Émirats arabes unis.
Manzoni admet que les clients de Crowdfense sont des agences de « police ou de renseignement » à la recherche d’outils de « collecte d’informations ». Il semble donc que les échecs reviennent aux institutions gouvernementales… mais quels gouvernements?
