Fondée par l'homme d'affaires français controversé Chaouki Bekrar, l'entreprise Zerodium propose 1 million de dollars à qui fournira une solution permettant de jailbreaker silencieusement un iPhone pour y installer un spyware, à partir d'une page web ou d'un SMS.

Voici une bonne publicité pour Apple. La société Zerodium fondée en juillet dernier par l'homme d'affaires français Chaouki Bekrar a publié ce lundi une offre de 1 million de dollars pour qui lui communiquerait une faille exploitable dans le système iOS 9, dont la sécurité semble poser bien des problèmes aux services d'espionnage (même si des méthodes indirectes restent exploitées).

La prime pourra être versée jusqu'à trois trois d'ici le 31 octobre 2015, et sera offerte à qui fournira à Zerodium une solution inédite, basée sur une page de navigateur ou sur l'envoi d'un SMS/MMS, pour installer secrètement et à distance une application donnant accès au téléphone.

"Apple iOS, comme tout système d'exploitation, est souvent affecté par des vulnérabilités de sécurité critiques. Toutefois en raison du nombre d'améliorations apportées à la sécurité et de l'efficacité des mesures en place pour réduire les exploits, l'iOS d'Appel est actuellement l'OS mobile le plus sécurisé", assure Zerodium. "Mais ne vous trompez pas. Sécurisé ne veut pas dire incassable, ça veut juste dire que iOS a aujourd'hui le coût le plus élevé" pour découvrir les failles de sécurité exploitables.

Selon Wired, une faille de sécurité inédite et exploitable dite "zero-day" pour iOS se vendait 250 000 dollars sur le marché noir en 2012, puis 500 000 dollars l'année suivante. Le fait que Zerodium soit prêt à proposer le double montre que la sécurité croissante d'iOS continue à poser toujours plus de problèmes pour les espions privés ou publics, d'autant qu'Apple s'est arrangé pour ne pas avoir à coopérer avec la police lorsque des données sont chiffrées sur l'appareil.

UNE ENTREPRISE D'ORIGINE FRANCAISE

Zerodium a été fondé par l'homme d'affaires français Chaouki Bekrar, président de la société VUPEN qui fournit des failles de sécurité exploitables à la NSA et à d'autres clients membres de l'OTAN. "L'intégralité des travaux de recherche et développement réalisés par VUPEN sont mis à la disposition de ses clients gouvernementaux afin de leur permettre de protéger pro-activement leurs systèmes et infrastructures contres des attaques sophistiquées et, dans certains cas, protéger leur nations", avait-il expliqué à Numerama en 2013. Sa nouvelle entreprise est spécialisée dans l'acquisition et la revente des failles de sécurité.

"Zerodium paye de fortes récompenses aux chercheurs pour leurs trouvailles zero-day puisque nous pensons que c'est la seule façon efficace de capturer de la recherche en sécurité de pointe à travers le monde", explique l'entreprise sur son site internet. D'ordinaire la société ne publie pas le montant de ses primes, mais affirme qu'elles sont supérieures aux pratiques habituelles du marché, et notamment supérieures à ce qu'offrent Google, Mozilla ou d'autres pour leurs propres programmes de "Bug Bounty Hunter".

En clair, Zerodium tente de convaincre les hackers de lui vendre en priorité leurs failles, pour qu'elles restent exploitables par les services de renseignement (ou peut-être par d'autres acteurs moins bien intentionnés), plutôt que de se faire payer par ceux qui les corrigeront.

"Les clients de Zerodium sont des entreprises majeures dans les domaines de la défense, de la technologie et de la finance, qui ont besoin de protection avancée contre les zero-day, ainsi que les organisations gouvernementales qui ont besoin de capacités de cybersécurité spécifiques et sur-mesure".

Contrairement à VUPEN qui a pignon sur rue, l'identité sociale de Zerodium reste inconnue. L'entreprise n'affiche aucun siège social, et son nom n'apparaît pas dans les registres de commerce français.

Partager sur les réseaux sociaux

Articles liés