La start-up française qui revend des failles informatiques à la NSA

Trois chercheurs ont gagné lundi un million de dollars à l’issue d’un concours consistant à détecter une faille dans le dernier iOS, le système d’exploitation de l’iPhone. La compétition était organisée par Zerodium, une start-up française dont l’activité consiste à revendre ces vulnérabilités appelées « zero-day ». Zerodium peut les céder aux constructeurs pour qu’ils corrigent leurs logiciels. Mais il peut aussi les livrer à des États, bien plus rémunérateurs, qui s’en servent pour des opérations de surveillance. Si Zerodium n’a pas communiqué le nom de la structure qui héritera des informations de la faille d’iOS, des documents publics diffusés en 2013 soulignent l’existence d’un lien commercial entre Vupen (ancien nom de Zerodium) et la NSA, l’agence de renseignement américaine. La vente de failles de sécurité est autorisée et régulée depuis 2014 par l’Arrangement de Wassenaar, un accord réunissant 41 pays, dont la France. Des dizaines d’entreprises sont présentes dans le secteur.