Zerodium avait promis une prime de 1 million de dollars à qui pourrait lui indiquer un moyen de jailbreaker/hacker un iPhone. Un mois plus tard, la prime a été offerte.
Zerodium est une entreprise spécialisée dans l’achat et la revente de vulnérabilités logicielles. À la fin du mois de septembre, elle a suscité une certaine polémique en annonçant vouloir offrir une prime de 1 million de dollars à qui serait capable de lui fournir un moyen de jailbreaker/hacker un iPhone à distance à partir d’une simple page Web ou avec un SMS/MMS.
Un mois plus tard, la prime en question n’est plus en jeu vu qu’elle a été attribuée !
À croire le compte Twitter de Zerodium, une équipe de hackers aurait réclamé la prime, ce qui signifierait qu’une faille exploitable a été découverte.
« Nous avons une équipe gagnante qui a produit un jailbreak à distance reposant sur l’utilisation d’un navigateur pour iOS 9.1/9.2 », indique l’entreprise. Il est aussi précisé que la solution est encore au stade de bêta et qu’il s’agit d’un jailbreak untethered, c’est-à-dire qu’il reste fonctionnel même si l’iPhone est redémarré.
Une réelle prouesse technique
On peut bien évidemment critiquer les pratiques de Zerodium, à savoir de vouloir s’enrichir avec des failles dans des logiciels, ce qui est bien évidemment au détriment des utilisateurs. Mais on peut aussi voir cette opération sous un autre angle de vue.
En effet, pour pouvoir jailbreaker/hacker un iPhone à distance à partir d’une simple page Web ou avec un SMS/MMS, il faut avoir découvert une, vraisemblablement même plusieurs failles zero-day, ce qui est un réel exploit en un temps si court, à peine plus d’un mois. Le plus impressionnant étant bien évidemment d’être exploitable par le navigateur web, ce qui l’a rend encore plus facile à exploiter que de devoir installer une application compromise.
Un business rentable pour Zerodium
On parle de jailbreak dans cette affaire. Bien évidemment qu’il ne va pas s’agir d’une application de jailbreak qui sera proposée à tous les utilisateurs d’iPhone. Ce n’est pas le business de Zerodium.
En payant 1 million de dollars pour cette solution, le but de Zerodium est bien évidemment de revendre son « investissement » bien plus cher par la suite. A qui ? À des clients qui pourraient être des États ou des agences gouvernementales. On peut simplement citer la NSA par exemple…
Pour tous les propriétaires d’iPhone, cette éventualité a de quoi donner des frissons dans le dos. C’est d’autant plus inquiétant que les ingénieurs d’Apple n’ont aucune piste sur ce qu’ils doivent colmater.
Que pensez-vous de cela ?
Si cet article a captivé votre intérêt, vous trouverez certainement les prochains tout aussi passionnants. Assurez-vous de ne rien manquer en vous abonnant à linformatique.org sur Google News. Suivez-nous aussi sur Facebook et Twitter.