Actualités
Wanted : faille de sécurité iOS. Récompense double de chez Apple !
y a une semaine, Ivan Krsti?, le responsable de l’équipe en charge de la
sécurité d’iOS chez Apple, dévoilait à l’occasion d’une conférence Black Hat à
Las Vegas, un programme de récompense de bug sur invitation seulement.
Le programme de la firme de Cupertino promet des récompenses allant de 25
000 $ à 200 000 $ aux experts en sécurité, mais voilà qu’une société tierce
Black Hat, Exodes Intelligence, promet plus du double
jusqu’à 500 000 $ pour un vulnérabilité 0-day
sur iOS 9.3. En novembre dernier, la société Zerodium avait même offert 1
million de $ pour une faille permettant un piratage d’iPad ou iPhone sous
iOS 9 à l’aide d’une page web ou d’un message texte.
Les failles de sécurité dites 0-day sont les plus critiques, car elles
permettent de pirater le système et d’obtenir un accès complet au contenu de
l’appareil, c’est pourquoi elles valent aussi chères sur le marché noir, et en
particulier pour iOS de part leur rareté.
Bien que la société Exodus utilise le terme de "programme de recherche
sponsorisé" pour justifier le rachat des failles de sécurité, la firme est
connue pour vendre ces vulnérabilités au plus offrant comme des agences
gouvernementales souhaitant avoir accès aux contenus d’appareils.
En début d’année, le FBI avait payé un prix avoisinant 1,3 million de
dollars pour acheter une faille iOS 0-day auprès d’une société tierce et ainsi
pouvoir débloquer l’iPhone 5c appartenant au responsable de la tuerie de San
Bernardino en Californie.