Discussion :

[Olivier Famien]

Une startup propose 1 million de dollars pour chaque faille zero-day trouvée sur iOS 9
l’offre cible l’iPhone 5, 6 et les iPad

Depuis la sortie du système d’exploitation mobile iOS 9, les mises à jour s’enchainent côté utilisateurs. La firme a déclaré en début de semaine lors de l’annonce concernant la disponibilité de l’iPhone 6s et 6s Plus dans ses stores que « iOS 9 a pris un départ fantastique avec une allure de téléchargements par plus d’utilisateurs que toute autre version de logiciel dans l’histoire d’Apple ». Et d’ajouter que cette version d’iOS a le taux d’adoption le plus rapide jamais enregistré.

Tout comme les versions précédentes de ce système, iOS 9 intègre plusieurs mécanismes de sécurité afin d’assurer la protection des applications et des données des utilisateurs. À bien des égards, cette plateforme représente l’un des systèmes les plus sécurisés dans l’environnement mobile.

Aussi pour motiver les chercheurs à dénicher les vulnérabilités sur ce système, l’entreprise Zerodium a annoncé en début de semaine l’ouverture d’un programme afin de récompenser les chercheurs découvrant des failles critiques ou trouvant le moyen de "jailbreaker" la nouvelle mouture d’iOS.

La particularité de cette offre est que la startup offre un total de 3 000 000 de dollars et chaque individu qui trouvera une faille se verra verser la somme d’un million de dollars.

Pour être éligibles à ce concours plutôt atypique, les failles découvertes doivent être de type zero-day et doivent pouvoir contourner tous les mécanismes d’atténuation d’iOS 9 à savoir l’ASLR, les sandboxes, etc.

De même, les attaques exploitant ces failles doivent être exécutées à partir d’une page web et cibler des navigateurs ou des applications, ou être exécutées à partir d’un message texte ou d’un message avec un contenu multimédia.

La startup précise en outre qu’aucune action ne doit être effectuée par l’utilisateur afin que l’attaque puisse atteindre son objectif, exceptée la visite de la page web par l’utilisateur ou l’ouverture d’un SMS ou d'un MMS servant de vecteur à l’attaque.

Les appareils ciblés par l’offre sont l’ensemble des modèles des gammes iPhone 6 et iPhone 5 ainsi que l’iPad Air 2, iPad Air, l’iPad 4e génération, l’iPad 3e génération, l’iPad mini 4 et l’iPad mini 2. Une fois que les failles ou les processus de débridage auront été trouvés par les individus, ces derniers doivent les soumettre exclusivement et de manière détaillée à la startup.

Une chose importante à savoir derrière cette offre alléchante est que le PDG de cette startup n’est ni plus ni moins que le Français Chaouki Bekrar, fondateur de l’entreprise de sécurité Vupen. Il s’est fait remarquer depuis les années 2012 lorsque son équipe et lui ont refusé de prendre part à la compétition organisée par Google afin de récompenser les hackers qui réussiraient à faire tomber la sécurité entourant son navigateur.

Chaouki Bekrar et son équipe ont plutôt préféré participer à un hackaton sponsorisé par HP à la même conférence et sont parvenus à réduire à néant la sécurité de Chrome. Alors que Google a proposé 60 000 dollars à chaque hacker de Vupen afin d’avoir les détails de leurs exploits, Chaouki Bekrar et ses coéquipiers ont littéralement décliné l’offre.

Le chef de l’équipe a déclaré qu’il ne livrerait pas les techniques utilisées pour annihiler la sécurité de Chrome même pour 1 million de dollars. Il ne donnerait pas l’occasion à Google de colmater la brèche. Ils préfèrent tenir secrètes ces informations pour leurs clients qui se composent d’agences gouvernementales, de gouvernements de l’OTAN et bien d’autres encore.

Pour certains, ces marchands de failles critiques s’apparentent aux seigneurs de la guerre des temps modernes. En s’adonnant à ces pratiques, ils ne font pas que vendre des vulnérabilités, mais vendent également les balles de la cyberguerre.

Pour d’autres par contre, c’est l’impérieuse réalité qu’impose la généralisation des connaissances. Ainsi, il serait juste de pouvoir tirer profit d’une manière ou d’une autre de ses talents, quitte à le faire au détriment de la communauté.

La chasse aux bugs lancée par Zerodium court jusqu'au 31 octobre.

Source : Zerodium, Forbes

Et vous ?

Que pensez-vous de cette offre ?

Trouvez-vous normal que ces failles soient utilisées à des fins mercantiles ?

Voir aussi
Forum Sécurité
Forum Apple

[lingtalfi]

Excellent comme stratégie.
Ca permet d'embaucher instantanément des tas de gars sur la planète, et dans un partenariat gagnant-gagnant.

[Aurelien Plazzotta]

Tu parles de la stratégie de Vupen ou de Zerodium?

[Damiens29]

Une bonne bande d'enfoiré comme on dit je crois !