Un million de dollars pour compromettre la sécurité de tout iOS

Sur le web

Par le

Certains pays se spécialisent dans la vente de moyens d’écoute de masse alors que certaines startups font plus dans la revente de failles de sécurité concernant les objets du quotidien. C’est notamment le cas de Zerodium et de Vupen. Quel est le lien entre les deux business ? Le fait qu’au bout du compte, ce qui est vendu finira probablement par servir pour de l’espionnage de masse.

apple-700-hack_1443012326

Fin Septembre, Zerodium a déclaré vouloir offrir un million de dollars aux trois premières personnes qui réussiraient à lui proposer un moyen de jailbreaker les iPhone à distance. Pour recevoir la récompense, ces personnes devront tout de même répondre à certains pré-requis. L’attaque doit être bien documentée, doit rester à l’usage exclusif de Zerodium, doit pouvoir se faire à partir d’un SMS/MMS/iMessage ou d’un navigateur. Le hack doit aussi pouvoir être effectué sans aucune action humaine sur le téléphone pour qu’il puisse être réalisé sans attirer l’attention. Le jailbreak doit aussi être persistant et ne pas être désactivé par le redémarrage du téléphone.

Il y a quelques heures, Zerodium a annoncé la fin de l’opération ainsi que la fin d’une possible vie privée pour les utilisateurs d’iPhone. Bon, j’exagère peut être un peu mais le fait est qu’il n’est possible d’être sûr de rien. Même si la startup a annoncé que quelqu’un avait remporté le million de dollars en lui proposant un hack regroupant tous les pré-requis et fonctionnant sur les versions 9.1 et 9.2 d’iOS, il n’est pas possible de savoir si c’est effectivement le cas.

Si c’est effectivement le cas, il faut souligner que c’est un réel exploit d’un point de vue technique. Un jailbreak n’est jamais simple à réaliser, il faut souvent un certains temps à la communauté pour sortir une version du jailbreak. Ensuite, cela voudrait dire que quelqu’un ou qu’une équipe a réussi à réaliser la manœuvre à distance à partir d’un simple message ou d’un simple site. Cela nécessite de trouver des failles 0-day (présentes depuis le développement) qui ne soient pas connues de la communauté ou du constructeur.

Se pose ensuite la question de l’utilisation qui va être faite de ce hack. Zerodium n’a pas déboursé un million de dollars pour rendre la faille publique, et l’aîné de Zerodium : Vupen (qui ne rachète pas les failles, elle a des équipes chargées de les trouver) compte parmi ses client la NSA. Il est donc probable que les agences gouvernementales soient intéressées pour racheter la faille. Surtout depuis que Apple chiffre les iPhone de manière irréversible et que la NSA cherche à y accéder par tous les moyens.

Cette nouvelle est d’autant plus inquiétante du fait qu’Apple n’ait pas de moyen de savoir ce qu’il faut chercher pour réparer la faille. Il ne fait aucun doute que les équipes d’Apple sont déjà au travail pour la trouver. Cependant, il va falloir que les équipes d’Apple réalisent le même exploit que celui réalisé par le hacker ayant reçu le million de dollars pour trouver la faille, et quand bien même ils réussiraient, il n’y aurait pas de moyen d’être sûr que ce soit bien la bonne faille qui ait été corrigée.

Source: Source