Accueil Sécurité 1 million de dollars pour la faille d’iOS9

1 million de dollars pour la faille d’iOS9

Zerodium, site spécialisé dans l’achat de bugs (bug bounty), et de vulnérabilités, avait lancé son offre le 21 septembre, largement relayée par les médias américains : une récompense de 1 million de dollar pour une faille de sécurité documentée sur iOS9. Le site annonçait dans un tweet du 2 novembre que la découverte avait été faite.

iOS bounty tweetZerodium est une start-up qui se définit ainsi fièrement sur sa home page : “The premium acquisition program for zero-day exploits and advanced cybersecurity research. “ et précise: « We pay big bounties, not bug bounties. » Pour rappel, un ‘ bug Bounty’ est une récompense offerte à ceux qui trouvent des failles de sécurité. Zerodium revendique le fait de payer le plus fort prix du marché. Ce « broker » en sécurité à la réputation sulfureuse, qui se fait une spécialité d’acquérir ces petits secrets pour les vendre au plus offrants, choisit ses clients.

Qui seront les bénéficiaires de la faille ? La Nsa est citée. Une grande entreprise serait en négociation. Mais Apple ne pourrait récupérer les informations qu’ultérieurement, avec les patches. Les ventes d’armes ont toujours été entourées de secret…

 Un jailbreak

L’exploit acheté par Zerodium est décrit par eux comme un ‘jailbreak’, et permet de pirater un iPhone ou un iPad lors de la visite d’un site. Zerodium précise que deux équipes de hackers étaient en compétition, et que l’équipe perdante, n’ayant découvert qu’un jailbrek partiel pourrait percevoir quand même une partie de la récompense.

Le fondateur de Zerodium Chaouki Bekrar, a créé sa première start-up, dans le même domaine de la cybersécurité, en 2004 à Montpellier. Une petite entreprise rentable, puisque ses comptes affichent un CA de 2,9M€, pour un résultat net de 1,286M€ en 2014. Cet informaticien de 35 ans se donne comme avatar le personnage de Dark Vador sur sa page twitter. Il se défend d’attaquer Apple et twitte même : « malgré ce jailbrak, je me sens en sécurité en utilisant mon iPhone, attaquer iOS coûte 10 fois plus cher qu’attaquer android ». Prochaines cible proposées aux hackers Windows, android , Flash…

 

 

Jean Kaminsky