[Jules Darmanin – Le Figaro – 03/11/2015]

Zerodium, une start-up de sécurité informatique, récompense une équipe de hackers qui est parvenue à casser à distance les protections du smartphone Apple. Cette faille pourra être revendue à des fins d’espionnage.

C’est une somme record. Zerodium, start-up spécialisée dans la sécurité informatique, avait promis un million de dollars à ceux ou celles qui parviendraient à casser les protections («jailbreak») d’un appareil sous iOS 9.1, la dernière version du système d’exploitation mobile d’Apple. Le logiciel qui équipe les iPhone et iPad est réputé difficile à pirater. Il n’a pas résisté à une équipe de hackers qui est parvenue, grâce à une ou plusieurs failles informatiques, à développer une technique de piratage d’iOS 9.1 et se partagera donc le pactole promis.

Zerodium avait fixé des regles strictes pour ce concours de piratage: l’attaque devait pouvoir être faite «à distance, de façon fiable et silencieuse, sans d’interactions autres que la visite d’une page Web ou la lecture d’un SMS.» Ces failles, baptisées «zero-day», se vendaient jusqu’alors pour plusieurs centaines de milliers d’euros, mais la barre du million n’avait pas encore été franchie publiquement.

Il ne faut pas s’attendre à ce que ces failles soient immédiatement corrigées par Apple. Dans une interview au magazine Wired, le Français Chaouki Bekrar, fondateur de Zerodium, explique l’entreprise ne transmettra pas les informations à Apple, tout en se réservant la possibilité de le faire «plus tard». Zerodium compte parmi ses clients des gouvernements, des agences de renseignement, des entreprises de défense et de finance. Ces organisations auront accès, en avant-première, aux détails du piratage. Certaines d’entre elles pourront s’en prémunir, mais d’autres seront vraisemblablement en mesure de l’exploiter à des fins d’espionnage. Toutefois, Chaouki Bekrar se défend de collaborer avec des régimes «autoritaires», sans donner plus de précision. Il a aussi affirmé que la faille à un million de dollars ne serait «vraisemblablement» vendue qu’à des clients américains.

Marché gris de la faille informatique

Le marché des failles «zero-day», est encore une zone grise de la criminalité informatique. La vente d’informations sur les failles informatiques n’est que très rarement illégale: c’est leur exploitation qui l’est. L’entreprise Hacking Team, qui vendait des solutions de surveillance à de nombreux gouvernements, faisait usage de «zero-day» touchant Flash Player, qui sert à jouer de nombreuses animations sur le Web. Eux aussi assuraient ne pas vendre leurs services à des régimes autoritaires. Pourtant, ils auraient été utilisés par des pays tels que l’Ouzbékistan ou le Soudan.

http://www.lefigaro.fr/secteur/high-tech/2015/11/03/32001-20151103ARTFIG00202-une-prime-d-un-million-de-dollars-pour-avoir-reussi-a-pirater-un-iphone.phpli