Les hackers spécialisés sur iOS peuvent se rassurer : leur créneau est visiblement très porteur. La start-up américaine Zerodium vient de lancer un concours pour la découverte de failles zero-day ou de jailbreak sur iOS 9. Les trois premiers chercheurs à se manifester recevront, chacun, une récompense d’un million de dollars, transmis par virement bancaire.
Mais pour recevoir ce magot, le hacker doit respecter un certain nombre de conditions. L’attaque doit être parfaitement documentée, exclusive et réalisable à distance depuis une page web ou un message SMS/MMS/iMessage. Mise à part la lecture d’une page web ou d’un message, elle ne doit nécessiter aucune autre interaction de la part de l’utilisateur, afin de pouvoir se dérouler en toute discrétion.
Destiné au cyberespionnage
Bref, il s’agit de trouver une vulnérabilité taillée sur mesure pour les agences d’espionnage et autres barbouzes de la planète, qui figurent visiblement parmi les clients de Zerodium. Sur son site, l’entreprise explique, en effet, travailler « pour de grandes entreprises dans la défense, la technologie et la finance, afin d’assurer une protection avancée contre les zero-day, ainsi que pour les organisations gouvernementales, dans le cadre de besoins spécifiques en matière de cybersécurité ».
En soi, ce type de concours n’est pas vraiment nouveau : la plupart des grands éditeurs disposent de programmes de « Bug Bounty » permettant aux hackers d’être récompensés pour une faille trouvée. En revanche, cette initiative se distingue par la finalité. Un « Bug Bounty Program » d’un éditeur a pour but d’améliorer la sécurité d’un logiciel et de protéger l’utilisateur. Le concours de Zerodium vise, au contraire, à pirater le système d’Apple en toute discrétion, sans évidement fournir les informations nécessaires pour corriger la faille à Cupertino. Pas très positive comme attitude. Il faut préciser, néanmoins, qu’Apple ne propose pas de Bug Bounty Program, ce qui est un tort.
Un prix multiplié par quatre en trois ans
L’initiative de Zerodium se distingue également par l’énorme récompense, nettement plus élevée que pour les « Bug Bounty Program ». L’entreprise justifie cette somme par le fait qu’iOS est actuellement « le système d’exploitation mobile le plus sécurisé ». Il intéresse donc particulièrement les cyberespions. On notera, tout de même, l’inflation qui règne sur cet étrange marché. En 2012, Forbes évaluait le prix d’une attaque zero-day sur iOS entre 100 000 et 250 000 dollars. En 2013, selon New York Times, une telle attaque pouvait aller jusqu’à 500 000 dollars. En l’espace de trois ans, les tarifs ont donc été multipliés par quatre !
Un français à la manœuvre
Vous vous demandez peut-être qui se cache derrière Zerodium. C’est un français : Chaouki Berkrar. Ce spécialiste de la sécurité informatique est dans le business des zero-day depuis des années déjà, au travers de Vupen, une entreprise française qu’il a créée en 2004 et qui compte parmi ses abonnés… la NSA. La grande différence entre Vupen et Zerodium semble être au niveau de l’acquisition des failles. Vupen a ses propres équipes, capables de trouver eux même les failles pour les revendre par la suite. Zerodium, en revanche, semble se spécialiser sur l’achat-vente de failles. Apple n’est d’ailleurs pas privilégié : la start-up s’intéresse à tous les systèmes d’exploitation, logiciels et appareils connectés, s’ils sont beaucoup utilisés.
Sources :
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
