Zerodium a son gagnant pour la faille d'iOS 9 à 1 million de dollars
Une faille à un million de dollars a été découverte dans iOS 9, a annoncé Zerodium. En raison de quoi, l'auteur de cette découverte sera récompensé de cette somme. Ce défaut dans iOS permet à des gredins d'accéder à distance au système de leur cible, sans accès physique à son téléphone, en le dupant au moyen d'une page web trafiquée lue par Safari ou Chrome, d'un message SMS, MMS ou fichier multimédia. Ensuite, la porte étant ouverte, le malandrin pourra installer des logiciels de son choix.
C'étaient en tous cas les termes du défi lancé par Zerodium depuis le 21 septembre. Cette organisation a mis en jeu un total de 3 millions de dollars pour obtenir l'exclusivité sur au moins 3 failles encore inconnues dans iOS 9.
Une autre condition pour qu'une équipe ou un individu puisse empocher son million est que le procédé utilisé ne soit communiqué à personne d'autre. Le nom du supposé gagnant est d'ailleurs inconnu. Ce qui fait dire à d'autres spécialistes en sécurité qu'il s'agit peut être seulement d'un coup de pub.
Cependant, Zerodium a quelques crédits à faire valoir. Cette plateforme d'acquisition de failles de sécurité a été cofondée par le français Chaouki Bekrar, déjà à la tête de Vupen Security. Cette dernière, né à Montpellier mais partie à l'étranger depuis, a plusieurs fois remporté des concours - avec argent sonnant et trébuchant à la clef — pour faire tomber les barrières de sécurité des navigateurs web.
L'objectif revendiqué de Zerodium est d'acheter au prix fort des failles zéro day (inédites et inconnues des auteurs des logiciels visés) et s'en réserver l'utilisation. Par exemple en vendant ses services à ses clients — entreprises ou gouvernements — pour les aider à se protéger de ces failles présentes dans les logiciels et systèmes qu'ils utilisent.
Ce type de commerce nourrit aussi des soupçons sur la revente de ces failles à des organisations qui veulent les exploiter à leur profit plutôt que s'en prémunir. En 2013, des documents de la NSA rendus publiques avaient révélé ses accords commerciaux avec Vupen Security signés en 2012. Les informations collectées par Vupen auraient servi au programme Prism révélé par Edward Snowden. Un bureau de Vupen est d'ailleurs installé dans le Maryland, dans le voisinage de l'agence américaine de surveillance.
Quel enfoiré ce type.
La faille sera peut-être (j'espère) redécouverte par quelqu'un d'autre qui la signalera à Apple.
Dingue...
D'un autre côté, sans ces bounty, les gars seraient moins motivés...
ah ouais, ça serait con, ça ferait moins de failles connues d'un petit club qui en font ce qu'ils veulent dans le dos des utilisateurs.
Du coup, iOS 8 est plus fiable? ;-))
@madeinphoto
Non pas du tout. Ce concours vise justement à trouver une faille sur iOS9 "spécifiquement", car jusqu'à ce jour ils ne trouvaient aucune possibilité de faire tomber iOS9 à distance et à l'insu du propriétaire. On peut donc supposer facilement qu'ils ont déjà la possibilité de contrôler iOS8
@XiliX :
Merci, c'était une blague... (Smiley ;-)) mais si on veut se faire l'avocat du diable, au final un système peu utilisé finira par attirer moins de monde et donc moins de pirates c'est ce qui a protégé pendant longtemps l'univers apple et qui fait que maintenant on découvre plus de failles chez eux... Bon chez Adobe aussi avec leur flash mais ça c'est une autre histoire...
J'adore l'utilisation supposée des gouvernements : connaître les failles pour s'en prémunir. Mon cul oui, si ce n'était que pour faire de la protection ils n'auraient qu'à envoyer la faille à Apple qui corrigerait pour tout le monde !
Là je sens plutôt l'utilisation type Loi Renseignement. Une belle brochette de salopards.
Ce qui serait intéressant c'est d'apprendre à reconnaître ces pages web-cheval de Troie, si tant est que ce soit possible...
Un beau business dégueulasse...
Au moins, c'est publique, maigre consolation.
C'est en tout cas un très joli coup de pub. Pour s'assurer la sécurité informatique d'un paquet de sociétés pensant nécessaire un contrôle accru. Même pas besoin de prouver qu'il y a vraiment une faille. C'est bien pensé.
@Nesus
En fait l'objectif de Zerodium n'est pas du tout de proposer comment sécuriser leur parc informatique, mais bien de vendre ces failles à par exemple des états.
Beaucoup d'états font du forcing pour que Apple laisse une porte dérobée ce que Apple a toujours refusé. Avec cette faille, Zerodium peut la vendre à l'état qui en demande.