Zerodium iOS 9 Bounty : quand jailbreak rime avec jackpot
Une équipe de hackers a réussi à jailbreaker iOS 9 et remporte le challenge Zerodium d’un million de dollars. On évolue dans une zone grise du marché de la sécurité IT.
Une équipe de hackers a remporté le ZERODIUM iOS 9 BOUNTY clos le 31 octobre.
Fin septembre, Zerodium, spécialiste américain de la sécurité IT (détection et analyse de failles logicielles), avait lancé un challenge pour hackers : « Dénichez des failles sensibles sur iOS 9 (OS réputé coriace) qu’il est possible d’exploiter à distance et gagnez un million de dollars en guise de récompense. »
Une équipe underground a réussi à développer une technique permettant de pirater un iPhone ou un iPad à partir d’un site Web infecté. L’annonce a été officialisée via Twitter lundi.
Our iOS #0day bounty has expired & we have one winning team who made a remote browser-based iOS 9.1/9.2b #jailbreak (untethered). Congrats!
— Zerodium (@Zerodium) 2 Novembre 2015
En fait, il restait deux équipes en lice pour remporter le trophée. Mais seulement une des deux est parvenue à mener complètement son projet de hacking d’iOS 9.
Le nom du groupe vainqueur (et encore moins l’identité de leurs membres) n’a pas été dévoilé.
Selon Chaouki Bekrar (fondateur de Zerodium mais aussi de Vupen en France installé sur le même créneau) interrogé par Wired, c’est un vrai jailbreak qui a été réalisé dans le cadre de ce concours.
Les détails techniques de cet assaut seront mis à disposition des clients de Zerodium: « des entreprises dans le secteurs de la défense, des technologies et de la finance » mais aussi des organisations gouvernementales ayant besoin de ressources spécifiques et ciblées en termes de cyber-sécurité ».
Chaouki Bekrar précise que seule sa clientèle installée aux Etats-Unis aura accès à la documentation de la faille susceptible d’aboutir à un assaut de type zero day.
L’éditeur ne prévoit pas de fournir immédiatement à Apple le résultat des travaux relatif à cet exploit iOS obtenus via ce challenge.
Les éléments seront « peut-être transmis plus tard » aux ingénieurs de la firme de Cupertino.
L’objectif est clairement de capitaliser sur les éléments collectés lors de ce challenger pour en faire du business.
Mais, dans cette zone grise du marché de la sécurité IT, il est difficile de savoir à partir de quand la ligne rouge entre le droit, l’éthique et le profit est dépassée.