Pour gérer vos consentements :
Categories: RisquesSécurité

Des failles dans iOS 9 ? Zerodium manie l’appât du gain

Zerodium propose un million de dollars à tout individu ou équipe qui détectera des failles dans iOS 9.

Et le montant global des primes sur ce programme dédié à l’OS mobile d’Apple s’élève à trois millions de dollars.

Quand les chercheurs de sécurité IT deviennent des chasseurs de prime…

La dernière version de l’OS mobile d’Apple va faire tourner les nouvelles générations iPhone et iPad présentées à la rentrée.

« iOS d’Apple est actuellement l’OS mobile le plus sécurisé. Mais ne soyons pas dupes, sécurité ne veut pas dire infaillibilité. »

Zerodium, spécialisé dans la détection et l’analyse de failles logicielles, a lancé un challenge pour chercheurs et développeurs experts dans la sécurité IT, accompagné de certaines conditions. Pour éviter d’éventuels mercenaires ?

Cette société américaine a été fondée par Chaouki Bekrar, un chercheur français que l’on retrouve également la création de Vupen (une société montpelliéraine également spécialisée dans la recherche de vulnérabilités dans les logiciels).

En fait, Zerodium aux USA ressemble à une extension de Vupen en France, à en croire un article de Threatpost.com publié en juillet dernier.

Sa création aux Etats-Unis s’explique a priori pour des raisons légales : il est interdit d’effectuer ce type de recherche en France (comme du reverse engineering).

« Zerodium verse des primes élevées aux chercheurs de sécurité pour acquérir des découvertes de failles zero-day et des vulnérabilités qui affectent les systèmes d’exploitation, les logiciels et/ou les terminaux », précise la société sur son site Internet.

« La majorité des programmes de découverte de failles acceptent n’importe quelles découvertes ou une démonstration de faisabilité (PoC) mais en échange d’une somme modique. Chez Zerodium, nous nous concentrons sur les failles les plus sensibles et les vecteurs d’attaques pertinents et nous payons plus cher. »

Qui est intéressé pour acquérir ces découvertes ? Les éditeurs de logiciels concernés en premier lieu mais aussi les agences gouvernementales en charge du renseignement ou de la cyber-sécurité.

C’est le business underground révélé à travers l’affaire italienne Hacking Team dans le courant de l’été qui avait abouti à des révélations sur l’exploitation de failles affectant Adobe Flash.

Afin d’éviter les dérives sur cette question sensible, Chaouki Bekrar semble avoir mis quelques garde-fous, à en croire ses déclarations remontant à 2012 au nom de Vupen.

« Nous vendons uniquement [nos découvertes de vulnérabilités] aux pays démocratiques. Nous respectons le droit international et, bien sûr, nous ne vendons qu’aux pays de confiance, qu’aux pays démocratiques reconnus comme tel. Nous ne les vendons pas aux régimes d’oppression. »

Mais, quand Vupen dispose de clients comme la NSA (la plus puissante des agences de renseignement aux Etats-Unis) dont les techniques de cyber-espionnage de masse avait été révélées par Edward Snowden, peut-on se montrer vraiment rassuré ?

L’affiche pour la prime pour jailbreaker iOS 9 de Zerodium

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

3 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

5 mois ago