Des failles dans iOS 9 ? Zerodium manie l’appât du gain

Zerodium propose un million de dollars à tout individu ou équipe qui détectera des failles dans iOS 9.

Et le montant global des primes sur ce programme dédié à l’OS mobile d’Apple s’élève à trois millions de dollars.

Quand les chercheurs de sécurité IT deviennent des chasseurs de prime…

La dernière version de l’OS mobile d’Apple va faire tourner les nouvelles générations iPhone et iPad présentées à la rentrée.

« iOS d’Apple est actuellement l’OS mobile le plus sécurisé. Mais ne soyons pas dupes, sécurité ne veut pas dire infaillibilité. »

Zerodium, spécialisé dans la détection et l’analyse de failles logicielles, a lancé un challenge pour chercheurs et développeurs experts dans la sécurité IT, accompagné de certaines conditions. Pour éviter d’éventuels mercenaires ?

Cette société américaine a été fondée par Chaouki Bekrar, un chercheur français que l’on retrouve également la création de Vupen (une société montpelliéraine également spécialisée dans la recherche de vulnérabilités dans les logiciels).

En fait, Zerodium aux USA ressemble à une extension de Vupen en France, à en croire un article de Threatpost.com publié en juillet dernier.

Sa création aux Etats-Unis s’explique a priori pour des raisons légales : il est interdit d’effectuer ce type de recherche en France (comme du reverse engineering).

« Zerodium verse des primes élevées aux chercheurs de sécurité pour acquérir des découvertes de failles zero-day et des vulnérabilités qui affectent les systèmes d’exploitation, les logiciels et/ou les terminaux », précise la société sur son site Internet.

« La majorité des programmes de découverte de failles acceptent n’importe quelles découvertes ou une démonstration de faisabilité (PoC) mais en échange d’une somme modique. Chez Zerodium, nous nous concentrons sur les failles les plus sensibles et les vecteurs d’attaques pertinents et nous payons plus cher. »

Qui est intéressé pour acquérir ces découvertes ? Les éditeurs de logiciels concernés en premier lieu mais aussi les agences gouvernementales en charge du renseignement ou de la cyber-sécurité.

C’est le business underground révélé à travers l’affaire italienne Hacking Team dans le courant de l’été qui avait abouti à des révélations sur l’exploitation de failles affectant Adobe Flash.

Afin d’éviter les dérives sur cette question sensible, Chaouki Bekrar semble avoir mis quelques garde-fous, à en croire ses déclarations remontant à 2012 au nom de Vupen.

« Nous vendons uniquement [nos découvertes de vulnérabilités] aux pays démocratiques. Nous respectons le droit international et, bien sûr, nous ne vendons qu’aux pays de confiance, qu’aux pays démocratiques reconnus comme tel. Nous ne les vendons pas aux régimes d’oppression. »

Mais, quand Vupen dispose de clients comme la NSA (la plus puissante des agences de renseignement aux Etats-Unis) dont les techniques de cyber-espionnage de masse avait été révélées par Edward Snowden, peut-on se montrer vraiment rassuré ?