Début août, Apple annonçait le lancement de son programme de bug bounty, pour récompenser ceux qui parviennent à trouver des vulnérabilités dans ses programmes. Les primes peuvent monter jusqu’à 200 000 dollars pour le piratage du firmware de démarrage d’iOS 10. L’entreprise Zerodium met la barre beaucoup plus haut en proposant 1,5 million de dollars. C’est trois fois plus que ce qui était proposé pour iOS 9 – Zerodium avait proposé 1 million puis 500 000 dollars – et plus de sept fois plus que ce qui est proposé pour le hack d’Android Nougat.
«iOS largement plus robuste qu’Android»
Une différence de rémunération justifiée par Chaouki Bekrar, fondateur de Zerodium. «Les nouvelles versions d’iOS et d’Android sont toutes les deux plus sécurisées et incluent de nouvelles protections, […] ce qui nous a incité à augmenter leurs prix respectifs. Grâce à son architecture et son cloisonnement, iOS est largement plus robuste qu’Android. C’est ce qui justifie l’écart de prix entre les deux exploits» confirme-t-il.
Mais la démarche de Zerodium est bien différente de celle d’Apple. De son côté, le Californien a établi une liste des spécialistes qui pourront travailler sur son programme. Il leur demande de mettre en avant des failles qui permettent de prendre le contrôle de la machine au démarrage ou de venir à bout de Secure Enclave, un composant intégré au processeur de l’iPhone et chargé de sécuriser l’accès aux données personnelles.
Chez Zerodium, la chasse est ouverte à tous et le niveau de difficulté est un cran au-dessus. Pour toucher le pactole, les hackers doivent fournir une solution clé en main permettant de pirater à distance un appareil tournant sous iOS 10, sans qu’aucune interaction avec la cible ne soit nécessaire. Concrètement, le piratage doit pouvoir se faire depuis une page Web sur Safari ou l’envoi d’un SMS. Ce qui pourrait prendre «plusieurs semaines, voire plusieurs mois» selon Chaouki Bekrar. Et le but de Zerodium n’est pas de protéger l’utilisateur.
Pour la NSA et le FBI?
Si Apple utilise son bug bounty pour renforcer la sécurité de ses smartphones, Zerodium les revend ensuite à des organisations gouvernementales. On peut donc imaginer que la NSA ou le FBI – qui avait eu du mal à venir à bout de l’iPhone de San Bernardino – fassent partie de ses clients.
«Depuis notre bounty de l’an dernier et l’affaire de San Bernardino, nos clients ont compris que la sécurité d’iOS était un frein à certaines opérations ou investigations. Ils ont également compris qu’un prix élevé permettait de trouver une solution à tout problème technique. Ils sont donc prêts à investir davantage dans ce type de solutions, même si les prix sont exorbitants» admet Bekrar.
Bien qu’il permette à ses clients de casser leur sécurité, le PDG de Zerodium utilise les smartphones à la pomme. «Je ne fais confiance qu’à Apple, j’utilise donc (et je recommande) des iPhone avec iOS 10» conclut-il. A 1,5 million la faille, autant toucher le plus de monde possible.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.