Des hackers remportent un million de dollars pour avoir découvert une faille dans iOS 9
mer, 04/11/2015 - 13:56
En septembre dernier, nous vous rapportions que la société Zerodium organisait un bug bounty d'un nouveau genre. S'il s'agissait comme pour tous les bug bounties de récompenser pour la découverte d'une faille, celle-ci devrait être gardée secrète, afin que son exploit soit vendu au plus offrant. Ah non, pardon, Zerodium assure que de tels exploits ne seront vendus qu'à des démocraties ou des pays de confiance, ce qui nous rassure tous totalement :-)
Planquez vos iPhones! Le bug bounty dont il est question concernait iOS 9, et deux équipes de chercheurs parmi les participants ont découvert des vulnérabilités, qui, par définition, sont des failles Zero-day.
La première équipe avait réussi un jailbreak partiel et est donc qualifiée pour une prime partielle. La seconde équipe remporte le gros lot d'un million de dollars, pour avoir fourni un exploit qui permet, à distance, de jailbreaker unthetered un iPhone sous iOS 9
Bien sûr aucun détail technique n'est donné. Selon les termes du concours, le jailbreak devait être obtenu soit par l'envoi d'un SMS assassin soit par une page web malicieuse attaquant Chrome ou Safari dans leurs configuration par défaut.
Zerodium a annoncé cette découverte dans un tweet :
Bien sûr cet exploit, récompensé un million de dollars, sera revendu beaucoup plus cher par Zerodium. La question est évidemment à qui, et quel usage en sera-t-il fait ?
A priori, l'exploit ne sera pas revendu à Apple :-) Zerodium est une société fondée par Chaoui Bekrar, qui a également fondé la société française Vupen. Vupen a toujours fait très fort dans des concours de hacking comme Pwn2Own, mais a aussi souvent été controversée, notamment pour ses liens avec la NSA.
Chaoui Bakrar interrogé par Wired a assuré que l'exploit ne serait pas vendu à n'importe qui. Qu'il serait 'probablement' vendu à des clients américains.
Voilà qui est pleinement rassurant, d'autant plus que Chaoui Bakrar a ajouté faire preuve de bienveillance dans cette affaire. Au départ Zerodium ne voulait pas divulguer l'issue de son bug bounty, mais l'a finalement fait, dit-il, afin d'informer la communauté de la sécurité iOS que si iOS 9 est très solide, il n'est néanmoins pas incassable.
Belle sollicitude... Ceux qui voient le mal partout penseront plutôt que cette annonce est un bon moyen de se faire de la publicité ;-)