Mercredi, nous rapportions que selon le Washington Post, le FBI n’aurait pas fait appel aux services de la société Cellebrite pour accéder aux données de l’iPhone 5C du tueur de San Bernardino, mais à une bande de hackers indépendants, qui vendent les failles de sécurité qu’ils découvrent à qui souhaite les exploiter.
Cette nouvelle accentue la crainte que la faille exploitée ne soit pas seulement dans les mains du FBI ou d’une entreprise réputée pour son sérieux, mais qu’elle soit également connue d’autres groupes de hackers, qui auraient pu revendre la solution dans des pays autoritaires, où l’on s’embarrasse peu des droits de l’homme avant d’arrêter un dissident.
Mais malgré tout, la Maison Blanche aurait décidé de ne pas divulguer à Apple la faille exploitée, donc de ne pas permettre aux millions d’individus qui possèdent un iPhone 5C sous iOS 9 de bénéficier d’une mise à jour de sécurité. Selon l’agence Reuters, qui cite des sources proches de l’administration Obama, la raison avancée ne serait pas que les services américains souhaitent garder cet atout dans leur main, mais qu’ils ont signé une clause de confidentialité avec les hackers.
Cette information confirme indirectement que la faille de sécurité a été vendue ou pourra être vendue à d’autres clients
« L’entreprise qui a aidé le FBI à débloquer l’iPhone du tireur de San Bernardino pour accéder aux données a la propriété juridique exclusive de la méthode, ce qui rend très improbable que la technique soit divulguée par le gouvernement à Apple ou à une quelconque entité », écrit Reuters.
Citant des sources anonymes, l’agence ajoute que « sans la coopération de l’entreprise, le FBI ne pourrait pas soumettre la méthode au [processus d’évaluation des risques de divulguer des vulnérabilités], même s’il le voulait ». Non seulement parce qu’elle n’en a pas le droit et qu’elle ne prendrait pas le risque de se brouiller avec ses fournisseurs, mais aussi parce qu’elle ignorerait certains détails techniques gardés par les hackers.
Cette information confirme indirectement que la faille de sécurité a été vendue ou pourra être vendue à d’autres clients. On sait en effet que le FBI a payé une somme forfaitaire pour acheter l’exploit de la faille de sécurité, qu’il pourra exploiter autant de fois qu’il le souhaite. Or il n’y a absolument aucun intérêt pour les hackers à conserver la propriété intellectuelle de la méthode plutôt que de la céder au FBI s’ils n’entendent pas trouver d’autres clients.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
