La société d’acquisition d’exploitations Zerodium a annoncé la semaine dernière qu’elle offrait temporairement 300 000 $ pour des exploits WordPress à fort impact.

L’entreprise recherche des exploits pouvant être utilisés pour exécuter du code à distance. L’exploit doit fonctionner sur des configurations par défaut exécutant la dernière version de WordPress, il doit cibler WordPress lui-même et non des plugins tiers, et il ne doit pas nécessiter d’authentification ou d’interaction de l’utilisateur.

Zerodium est prêt à débourser jusqu’à 300 000 $ par exploit. La société propose généralement 100000 $ pour les exploits WordPress RCE, le même montant que pour les exploits Webmin, Plesk et cPanel / WHM.

Zerodium affirme que ses clients sont des organisations gouvernementales – principalement d’Amérique du Nord et d’Europe – qui recherchent «des capacités avancées de cybersécurité et d’exploits zero-day.

«Chez ZERODIUM, nous prenons l’éthique très au sérieux et nous avons choisi nos clients très soigneusement, ce qui signifie que l’accès à vos recherches et exploits sera très restreint et limité à un très petit nombre de clients institutionnels», indique la société sur son site Internet.

Les courtiers en exploitation comme Zerodium sont souvent controversés en raison de la possibilité qu’ils puissent vendre leurs services – certains d’entre eux ont été surpris en train de le faire – à des régimes oppressifs qui sont susceptibles de les utiliser pour identifier et faire taire leurs détracteurs. Cependant, à ce jour, il n’y a eu aucun rapport de Zerodium offrant ses services à ces régimes.

Actuellement, Zerodium offre les paiements les plus élevés pour les exploits d’exécution de code à distance ciblant Windows (1 million de dollars) et les exploits qui peuvent donner à un attaquant distant le contrôle total des appareils mobiles (2,5 millions de dollars pour Android et 2 millions de dollars pour iOS).

Il n’est pas rare que l’entreprise augmente temporairement les paiements pour certains exploits – probablement en cas de forte demande – mais l’entreprise est également connue pour cesser complètement d’acheter certains types d’exploits en raison d’un excédent.

En rapport: