Dollars Depuis le début du mois de mai, un exploit 0-day a priori fonctionnel sur toutes les versions de Windows (Windows 2000 à Windows 10) est mis en vente sur le forum exploit.in. Le vendeur BuggiCorp semble toutefois avoir du mal à trouver preneur.

Initialement, le prix de vente était de 95 000 $. Il a ensuite été ramené à 90 000 $ et s'affiche désormais à 85 000 $ (près de 75 000 €), comme l'a constaté Trustwave. Windows n'attirerait-il plus les cybercrimels ? Certainement pas…

Trouver des vulnérabilités 0-day sur ce genre de forum privé mais " en clair " est assez rare et amène peut-être les potentiels acheteurs à une certaine prudence. Par ailleurs, ladite vulnérabilité demeure à la base une élévation de privilèges en local.

Le prix demandé paraît alors sans doute excessif, même si la vulnérabilité peut manifestement être associée avec d'autres failles et ainsi causer de réels soucis de sécurité. Une autre lecture possible est que le marché noir des 0-day, en particulier de type Local Privilege Escalation, est beaucoup plus concurrentiel qu'on ne l'imagine.