Au mois de septembre dernier, la société Zerodium, spécialisée dans l’achat et la revente de vulnérabilités logicielles, mettait en jeu un million de dollars pour une personne capable de lui fournir un moyen de pirater un iPhone depuis une simple page Web ou à l’aide d’un message texte. Une tâche qui s’avère extrêmement difficile, mais la compagnie a annoncé avoir trouvé un groupe de personnes ayant réclamé la prime et avoir réussi l’exploit.
Zerodium a ainsi annoncé : « Nous avons une équipe gagnante qui a produit un débridage à distance reposant sur l’utilisation d’un navigateur pour iOS 9.1/9.2 ». Même si pour le moment ce navigateur est en version bêta, cette faille reste fonctionnelle après avoir éteint et redémarré l’iPhone. Il n’y a pas besoin de connecter le téléphone à un ordinateur.
L’exploit est pour le moins remarquable. Le fondateur de la société, Chaouki Bekrar, a déclaré que « Faire en sorte que le jailbreak soit activable via Safari ou Chrome requiert au moins deux ou trois exploits supplémentaires par rapport à un jailbreak local». Le groupe informatique qui a réclamé la prime a donc réussi à contourner les barrières de sécurité intégrées. Monsieur Bekrar ajoute qu’Apple profite d’une telle annonce, car «ce défi est une des meilleures publicités pour Apple qui soient, car il confirme une fois encore que la sécurité d’iOS est sérieuse et pas seulement du marketing. Aucun autre logiciel qu’iOS ne mérite une prime aussi élevée».
L’annonce à fait quelques sceptiques notamment pour Jonathan Zdziarski, chercheur en sécurité ayant travaillé abondamment sur les produits Apple et qui indique que tant que les noms des personnes n’ont pas été rendus public, il ne s’agit que d’un coup de pub. Cependant, Zerodium ne semble pas avoir l’intention d’en dire davantage sur cette faille, dont l’exploitation peut valoir bien plus que le million de dollars offert au groupe informatique à l’origine de la découverte.
