La faille à 1 million de dollars qui menace l'iPhone

Une faille très dangereuse

La faille de sécurité découverte par ce groupe de hackers serait potentiellement très importante. Elle permettrait à un iPhone d'être "jailbreaké" (débloqué) à distance juste via un site Web contaminé ou un simple SMS. Ensuite, cela permettrait d'installer sur le mobile une application non validée par Apple, comme par exemple un logiciel espion. Il s'agit d'une faille "zero day" c'est-à-dire qui n'a jamais été exploitée. Et pour cette découverte, les hackers en question ne seront pas inquiétés, non. Au contraire, ils devraient toucher 1 million de dollar ! Car il s'agissait d'un… concours.

Un concours de hacking 

Un concours lancé par une société spécialisée dans la sécurité informatique : l'entreprise Zerodium, fondée par… un français, Chaouki Bekrar. La raison d'être de Zerodium : découvrir des failles de haut niveau pour les revendre à des Etats ou à des organisations membres de l'OTAN.

Il y a donc fort à parier que cette faille de l'iPhone, volontairement recherchée et payée 1 million de dollars, sera revendue bien plus cher.

Un savoir-faire technologique trés recherché

Même les organismes de surveillance gouvernementaux tels que la NSA, l'agence nationale de sécurité américaine, sont interessés. Et comme Apple, à l'instar d'autres acteurs du numérique, a récemment renforcé la sécurité de ses appareils pour protéger les utilisateurs, cette trouvaille prend encore plus de valeur. La pratique, pour le moins originale, marque donc peut-être un nouveau mode de détection des vulnérabilités : comme cela coûte très cher, on fait appel à des hackers extérieurs via un concours. Une sorte "d'ubérisation" du hacking.

Quels risques pour les utilisateurs ?

Tout dépend de l'utilisation qui pourrait être faite de cette faille. Lutte contre le terrorisme? Surveillance de masse, comme peuvent le craindre les plus inquiets ? En principe, lorsqu'une faille de sécurité est découverte, Apple réagit très vite pour corriger le problème en publiant une mise à jour logicielle. Cependant, encore faut-il que la faille soit connue, ce qui n'est pas le cas pour l'instant. Elle est secrète et elle va sans doute le rester.

Cela dit, comme toute cette histoire est quand même très mystérieuse sous bien des aspects, certains experts en informatique pensent que ce n'est peut-être pas très sérieux. D'aucuns parlent même de "bullshit" c'est-à-dire .... un tissu de conneries.

Our iOS #0day bounty has expired & we have one winning team who made a remote browser-based iOS 9.1/9.2b #jailbreak (untethered). Congrats!

— Zerodium (@Zerodium) November 2, 2015

  Tweet annonçant le gagnant au concours de hacking