Mise à prix : hacker iOS 9, Récompense : un million de dollars !

Par:
fredericmazue

mer, 23/09/2015 - 12:09

Les enjeux financiers de la sécurité informatique sont de plus en plus importants. Mais aujourd'hui il semble que nous venons de franchir une nouvelle étape dans ce business.

Jusqu'ici nous connaissions les programmes Bug Bounty dont le principe est à la fois simple et légitime. Une société édite un logiciel qu'elle veut sûr. Comme la sécurité est quelque chose de très difficile techniquement parlant, la dite société fait appel à des spécialistes, des hackers, afin de détecter les failles dans le logiciel. Lorsque des failles sont trouvées, les hackers qui les ont découvertes sont récompensés financièrement, la société corrige les failles et rend son produit plus sûr. Tout est pour le mieux dans le meilleur des mondes.

Or voilà que la société Zerodium propose un bug bounty d'un tout nouveau genre. Il s'agit de trouver le moyen de hacker iSO 9 , le nouveau système d'exploitation d'Apple. Et pour motiver les talents, une prime de un million de dollars est offerte.

Seulement voilà, Zerodium n'est pas Apple, et il n'est pas question d'avertir la firme à la pomme de la découverte des failles.

Le fondateur de Zerodium est Chaoui Bekrar, le fondateur de la société française Vupen. Une société plutôt efficace dans le domaine des failles informatiques. Notamment, Vupen s'illustre régulièrement au concours de hacking Pwn2Own où elle y met à mal navigateurs et systèmes d'exploitation.

Mais Vupen est aussi une société controversée, car elle tire ses revenus de la vente d'exploits informatiques. Vupen aurait été liée par contrat avec la NSA pendant au moins un an. Vupen reconnaît vendre des exploits de failles informatiques, mais affirme ne le faire qu'à des démocraties et pays de confiance. Les sociétés de ce genre affirment toutes cela, mais ce n'est pas toujours vraiment vrai ;-) En témoigne la récente affaire avec la société italienne The Hacking Team qui a défrayé la chronique au printemps dernier.

Zerodium est donc à la recherche d'exploit zero day dans iSO 9. Pour gagner un million de dollars, les hacker doivent fournir un jailbreak untethered d'iOS 9. L'exploit doit permettre l'installation à distance, privilégiée et persistante d'une application quelconque sur un iOS 9 à jour.

Pour cela tous les moyens sont bons. Une page Web qui sort d'un Safari ou d'un Chrome dans leurs configurations par défaut, l'envoi d'un SMS meurtrier, etc.