Une équipe de chercheurs en sécurité semble avoir trouvé le moyen de pénétrer les défenses du dernier OS mobile d'Apple, ce qui les rend admissibles à une récompense d’un montant de un million de dollars. Cette somme a été offerte dans le cadre d’un concours organisé par une société baptisée Zerodium et basée à Washington DC. Particulièrement controversée – à l’image de la société italienne Hacking Team – Zerodium est spécialisée dans l’achat et la vente d'informations sur les vulnérabilités logicielles. La société a félicité l'équipe gagnante sur Twitter lundi dernier, sans nommer les chercheurs qui ont demandé la récompense.

Chaouki Bekrar, le fondateur de Zerodium, a ainsi déclaré par courriel que « l'exploit de l'équipe gagnante est encore testé par Zerodium afin de vérifier et documenter chacune des vulnérabilités sous-jacentes. iOS est l'un des systèmes d’exploitation les plus difficiles à hacker car la firme de Cupertino a conçu une défense solide autour de son OS afin de le protéger des logiciels malveillants.

Un concours avec des contraintes

Zerodium a lancé son concours en septembre dernier, en indiquant qu'elle récompenserait le premier groupe à venir avec une méthode, basée sur un navigateur, pour jailbreaker un iPhone 6S. Cela signifie que l’injection de code non autorisé doit permettre de déverrouiller un terminal iOS 9.1 en visitant une simple page web en utilisant Chrome ou Safari, ou un message texte ou multimédia envoyé à l'appareil, selon les conditions de Zerodium

Malgré ces contraintes, des hackers ont déjà trouvé dans le passé les moyens de contourner les défenses d'Apple pour installer des applications non approuvées ou piratées, un processus connu sous le nom jailbreak.

Un jailbreak partiel également proposé

Zerodium assure cependant que les vulnérabilités qu'il achète sont réservées aux clients qui ont souscrit un abonnement concernant la sécurité. Chaouki Bekrar précise que les vulnérabilités trouvées par l'équipe gagnante pourront être signalées à Apple un peu plus tard. Ces failles sont connues comme des vulnérabilités zero-day puisqu’Apple n'a pas encore eu le temps de développer un patch pour les corriger. Il peut être difficile pour un fournisseur de savoir comment résoudre ce type de défauts sans informations détaillées. L’équipe susceptible d’être récompensée aurait trouvé plusieurs vulnérabilités dans le navigateur et autour du noyau d’iOS 9.1. Une troisième faille est également indispensable pour tromper le contrôle d’intégrité de l’OS au redémarrage.

Une deuxième équipe a également participé au concours ainsi, que l’écrit M. Bekrar. Et elle a développé un jailbreak partiel et serait admissible à une récompense partielle. Signalons enfin que Chaouki Bekrar a également fondé la société Vupen, un courtier en vulnérabilités aujourd’hui au point mort, qui a été vivement critiqué par certains membres dans la communauté de la sécurité. La vente d’informations sensibles sur des failles logicielles sans en avertir les éditeurs entrainent des risques inutiles si ces vulnérabilités sont mal exploitées.