Voici une bonne publicité pour Apple. La société Zerodium fondée en juillet dernier par l'homme d'affaires français Chaouki Bekrar a publié ce lundi une offre de 1 million de dollars pour qui lui communiquerait une faille exploitable dans le système iOS 9, dont la sécurité semble poser bien des problèmes aux services d'espionnage (même si des méthodes indirectes restent exploitées).
La prime pourra être versée jusqu'à trois trois d'ici le 31 octobre 2015, et sera offerte à qui fournira à Zerodium une solution inédite, basée sur une page de navigateur ou sur l'envoi d'un SMS/MMS, pour installer secrètement et à distance une application donnant accès au téléphone.
"Apple iOS, comme tout système d'exploitation, est souvent affecté par des vulnérabilités de sécurité critiques. Toutefois en raison du nombre d'améliorations apportées à la sécurité et de l'efficacité des mesures en place pour réduire les exploits, l'iOS d'Appel est actuellement l'OS mobile le plus sécurisé", assure Zerodium. "Mais ne vous trompez pas. Sécurisé ne veut pas dire incassable, ça veut juste dire que iOS a aujourd'hui le coût le plus élevé" pour découvrir les failles de sécurité exploitables.
Selon Wired, une faille de sécurité inédite et exploitable dite "zero-day" pour iOS se vendait 250 000 dollars sur le marché noir en 2012, puis 500 000 dollars l'année suivante. Le fait que Zerodium soit prêt à proposer le double montre que la sécurité croissante d'iOS continue à poser toujours plus de problèmes pour les espions privés ou publics, d'autant qu'Apple s'est arrangé pour ne pas avoir à coopérer avec la police lorsque des données sont chiffrées sur l'appareil.
UNE ENTREPRISE D'ORIGINE FRANCAISE
Zerodium a été fondé par l'homme d'affaires français Chaouki Bekrar, président de la société VUPEN qui fournit des failles de sécurité exploitables à la NSA et à d'autres clients membres de l'OTAN. "L'intégralité des travaux de recherche et développement réalisés par VUPEN sont mis à la disposition de ses clients gouvernementaux afin de leur permettre de protéger pro-activement leurs systèmes et infrastructures contres des attaques sophistiquées et, dans certains cas, protéger leur nations", avait-il expliqué à Numerama en 2013. Sa nouvelle entreprise est spécialisée dans l'acquisition et la revente des failles de sécurité.
Life is short, sell your 0days
— Chaouki Bekrar (@cBekrar) 15 Septembre 2015
"Zerodium paye de fortes récompenses aux chercheurs pour leurs trouvailles zero-day puisque nous pensons que c'est la seule façon efficace de capturer de la recherche en sécurité de pointe à travers le monde", explique l'entreprise sur son site internet. D'ordinaire la société ne publie pas le montant de ses primes, mais affirme qu'elles sont supérieures aux pratiques habituelles du marché, et notamment supérieures à ce qu'offrent Google, Mozilla ou d'autres pour leurs propres programmes de "Bug Bounty Hunter".
En clair, Zerodium tente de convaincre les hackers de lui vendre en priorité leurs failles, pour qu'elles restent exploitables par les services de renseignement (ou peut-être par d'autres acteurs moins bien intentionnés), plutôt que de se faire payer par ceux qui les corrigeront.
"Les clients de Zerodium sont des entreprises majeures dans les domaines de la défense, de la technologie et de la finance, qui ont besoin de protection avancée contre les zero-day, ainsi que les organisations gouvernementales qui ont besoin de capacités de cybersécurité spécifiques et sur-mesure".
Contrairement à VUPEN qui a pignon sur rue, l'identité sociale de Zerodium reste inconnue. L'entreprise n'affiche aucun siège social, et son nom n'apparaît pas dans les registres de commerce français.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !