Passer au contenu

Une faille zero-day pour Windows, en vente pour 90.000 dollars dans le Darkweb

Un pirate a créé une annonce dans un forum russe, ce qui est assez inhabituel. En général, ce genre de « produits » se vend discrètement de la main à la main.

Vous rappelez vous du concours de piratage iOS lancé fin 2015 par Zerodium, le vendeur de failles zero-day? L’illustre inconnu qui l’a gagné est reparti avec un million de dollars. C’est le prix du marché d’une faille zero-day pour terminaux Apple aujourd’hui.

Et pour Windows alors? C’est visiblement dix fois moins cher. Dans un forum pour pirates russes, les chercheurs en sécurité de la société Trustwave ont récemment eu la surprise de découvrir une offre pour une faille zero-day Windows au prix de 90.000 dollars.

L’annonce figure au beau milieu d’autres produits beaucoup moins intéressants, tel que la location de botnet ou les kits d’exploitation. « Trouver un zero-day parmi des offres aussi communes est clairement une anomalie. Cela indiquerait que les zero-day sont en train de sortir de l’ombre pour devenir des produits de commodité, ce qui est effrayant », expliquent les chercheurs dans une note de blog. Jusqu’à présent, en effet, les failles zero-day ont toujours été considérées comme un produit rare, donc à manipuler avec précaution. Les ventes se faisaient donc plutôt de manière discrète, pas ouvertement sur un forum.

Une annonce à priori sérieuse

Pour autant, les chercheurs ne pensent pas que l’offre soit un hoax. Ils ont trouvé les explications et les vidéos de démonstration plutôt convaincantes. La vulnérabilité en question permet une élévation de privilèges. C’est moins critique qu’une exécution de code à distance, mais c’est quand même pas mal. Un outil généralement indispensable dans une attaque informatique un peu sophistiquée.

D’après le pirate, cette faille peut être exploitée sur tous les systèmes Windows, y compris la dernière version Windows 10 patchée. Elle ne serait pas non plus détectée par le moteur de détection comportementale EMET de Microsoft. Une faille zero-day similaire a été trouvée récemment par FireEye et corrigée par Microsoft le 11 avril dernier. Le pirate, de son côté, affirme que cette faille est différente. A ce stade, il est difficile de savoir si c’est vrai.

En tous les cas, comme le souligne le blog KrebsOnSecurity, le tarif demandé est assez cohérent. La liste de prix de Zerodium montre bien que les failles Windows valent beaucoup moins que leurs homologues pour iOS ou Android.

Sources :

Trustwave, KrebsOnSecurity

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN