Créée par l'homme d'affaire français Chaouki Bekrar, la start-up Zerodium spécialisée dans l'achat et la revente d'exploits de failles de sécurité a annoncé qu'elle avait obtenu un jailbreak silencieux du système iOS 9, qu'elle revendra à ses clients États ou entreprises. Elle-même a payé 1 million de dollars pour l'avoir.

En septembre dernier, la société Zerodium fondée par l’homme d’affaires français Chaouki Bekrar avait annoncé qu’elle offrirait une prime de 1 million de dollars à qui trouverait le moyen de contourner la sécurité des iPhone et des iPad, grâce à un jailbreak du système iOS 9. Les hackers avaient jusqu’au 31 octobre pour réclamer la prime, et au moins un groupe aurait réussi l’exploit, si l’on en croit un tweet publié lundi par la jeune entreprise controversée.

« Notre chasse à la prime pour [une faille] zero-day sur iOS a expiré, et nous avons une équipe gagnante qui a réalisé un jailbreak à distance basé sur le navigateur sous iOS 9.1/9.2b », a affirmé la start-up cousine de VUPEN, une entreprise française qui reconnaît vendre des failles exploitables à la NSA et à d’autres organisations de membres de l’OTAN.

La faille permettrait de supprimer à distance les sécurités d’iOS 9 pour installer discrètement n’importe quelle application non signée, y compris des spywares qui permettent d’espionner la victime ou de collecter des données sur son iPhone. Le jailbreak qui s’exécute depuis une page web piégée est « untethered », c’est-à-dire qu’il continue à fonctionner même sans connexion au réseau, après reboot du téléphone.

iOS est l’OS mobile le plus sécurisé

En 2013, Chaouki Bekrar avait expliqué à Numerama que « l’intégralité des travaux de recherche et développement réalisés par VUPEN sont mis à la disposition de ses clients gouvernementaux afin de leur permettre de protéger pro-activement leurs systèmes et infrastructures contres des attaques sophistiquées et, dans certains cas, protéger leur nations ». L’objectif de sa nouvelle start-up Zerodium est de continuer sur cette voie, mais de servir de place de marché entre les hackers et les gouvernements intéressés, plutôt que les failles et leurs exploitations soient découvertes et développées en interne.

Ce changement de stratégie opéré avec Zerodium est aussi dû à la complexité et au coût de plus en plus grand de la découverte de nouvelles failles, alors que les entreprises font désormais de la sécurité une priorité importante dans leurs développements et dans leur argumentaire commercial. Plus encore depuis les révélations d’Edward Snowden.

Les clients de Zerodium sont des États et des entreprises majeures

« iOS, comme tout système d’exploitation, est souvent affecté par des vulnérabilités de sécurité critiques. Toutefois en raison du nombre d’améliorations apportées à la sécurité et de l’efficacité des mesures en place pour réduire les exploits, l’iOS d’Apple est actuellement l’OS mobile le plus sécurisé », avait expliqué Zerodium au moment de lancer son appel aux chasseurs de prime.

Outre les États, «  les clients de Zerodium sont des entreprises majeures dans les domaines de la défense, de la technologie et de la finance, qui ont besoin de protection avancée contre les zero-day », c’est-à-dire contre les failles qui n’ont pas encore fait l’objet de correctifs.

Achetée un million de dollars, ce qui est peut-être surpayé (quoique) mais permet à Zerodium de se faire un nom, la faille pourra donc être revendue à de nombreux clients, qui pourront l’utiliser soit à des fins défensives pour se protéger contre les hackers qui utiliseraient la même technique, soit à des fins offensives pour attaquer leurs cibles.

Partager sur les réseaux sociaux

Articles liés