Fin septembre dernier, Zerodium, une start-up spécialisée dans l’achat (et la revente) de vulnérabilités logicielles, mettait un million de dollars sur la table pour qui serait capable de lui fournir un moyen de jailbreaker/hacker un iPhone depuis une simple page Web ou un SMS/MMS. Une tâche difficile, très difficile.
Nous avons un gagnant…
Un peu plus d’un mois plus tard, à quelques heures de l’échéance fixée, des hackers ont réclamé la prime. Le délai imparti pour soumettre une éventuelle faille zero day est désormais terminé et, à en croire le compte Twitter de Zerodium, une équipe de hackers semble en effet avoir réussi l’exercice.
« Nous avons une équipe gagnante qui a produit un jailbreak à distance reposant sur l’utilisation d’un navigateur pour iOS 9.1/9.2 », ce dernier étant encore en bêta pour les développeurs. Ce jailbreak est untethered, c’est-à-dire qu’une fois appliqué, le jailbreak reste fonctionnel même si l’iPhone est éteint et redémarré. Il n’y a pas besoin de connecter le smartphone à un ordinateur.
Our iOS #0day bounty has expired & we have one winning team who made a remote browser-based iOS 9.1/9.2b #jailbreak (untethered). Congrats!
— Zerodium (@Zerodium) November 2, 2015
Un exploit technique
La tâche était évidemment très complexe, car elle nécessite de trouver une ou, plus vraisemblablement, plusieurs failles zero day (inconnues jusqu’alors) afin de pouvoir agir à distance sur un iPhone. Le plus impressionnant en l’occurrence est que cette « attaque » passe par le navigateur Web. Il est donc bien plus facile de l’utiliser que s’il fallait contourner des sécurités et faire en sorte que le propriétaire de l’iPhone installe une application compromise.
Chaouki Bekrar, fondateur de Zerodium et également de Vupen Security, indiquait à Motherboard : « Faire en sorte que le jailbreak soit activable via Safari ou Chrome requiert au moins deux ou trois exploits supplémentaires par rapport à un jailbreak local ». Il semblerait que les hackers aient trouvé des failles dans Chrome et iOS pour contourner les barrières de sécurité intégrées.
Une des meilleures publicités pour Apple
Zerodium partage avec son aînée Vupen le même modèle économique. Elle a payé très cher un exploit, qu’elle va ensuite très certainement vendre à des Etats ou agences gouvernementales pour une somme bien plus élevée. Vupen a ainsi travaillé avec la NSA. A l’heure, où la justice et les agences américaines mettent la pression sur Apple pour qu’il installe des portes dérobées dans ses téléphones pour garantir des accès aux enquêteurs, la nouvelle ne fait pas forcément sourire.
Pourtant, pour Chaouki Bekrar, « ce défi est une des meilleures publicités pour Apple qui soient car il confirme une fois encore que la sécurité d’iOS est sérieuse et pas seulement du marketing. Aucun autre logiciel qu’iOS ne mérite une prime aussi élevée ».
Les millions d’utilisateurs d’iPhone, d’iPad et d’iPod touch concernés ne seront pas forcément du même avis, car cet exploit met en péril leur sécurité et leur vie privée, même s’il est possible qu’Apple et Google corrige les failles utilisées dans les semaines ou mois à venir. En l’occurrence la tâche ne sera pas aisée puisque les ingénieurs des deux groupes ne savent pas quoi chercher et rectifier exactement.
De quoi être réellement inquiet pour nos appareils utilisés au quotidien. Reste toutefois un petit espoir. Jonathan Zdziarski, chercheur en sécurité qui a travaillé abondamment sur les produits Apple, indiquait ainsi en réponse au tweet annonciateur de succès de Zerodium : « Souvenez-vous que tant que les noms ne sont pas rendus publics, ce n’est rien de plus qu’un coup de pub ». Mais Zerodium, qui réfléchit déjà à élargir ce programme de chasse à prime, n’a pas l’intention d’en dire davantage. Gardée secrète la faille vaut bien plus d’un million de dollars.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.