Alors que le recrutement de pirates chevronnés au sein d’une agence d’espionnage ou d’un gouvernement se fait normalement de manière discrète, une agence connue sous le nom de « Zerodium » a décidé de bousculer les codes en offrant rien de moins qu’un million de dollars à quiconque trouvera une manière de hacker le récent système d’exploitation maison d’Apple : iOS 9 pour iPhone et iPad.
Une initiative hors-normes
C’est hier que l’entreprise spécialisée dans la sécurité a annoncé cette initiative hors-normes. L’agence paiera une somme à sept chiffres à toute personne proposant une technique de piratage permettant de prendre le contrôle d’un iPhone ou d’un iPad tournant sous iOS 9. Toutes les techniques sont possibles : hameçonnage de la victime sur le web, usage des failles d’une application anodine installée sur l’appareil, ou via message. La société affirme qu’elle est prête à payer plusieurs fois la dite prime s’il le faut, elle plafonnera cependant les paiements à 3 millions de dollars.
Selon le site de l’entreprise Zerodium :
« Grâce aux récentes avancées en matière de sécurité et à la réduction du nombre de failles exploitables, la nouvelle version d’iOS d’Apple est actuellement le système d’exploitation mobile le plus sécurisé au monde. »
« Cependant ne soyez pas dupes. Sécurisé ne signifie pas incrackable. Cela signifie simplement qu’iOS dispose du budget le plus conséquent au monde en matière de sécurisation d’un système d’exploitation mobile. C’est là que notre offre d’un million de dollars à quiconque réussira à contourner ces dispositifs de sécurité entre en jeu. »
Le fondateur de Zerodium, Chaouki Bekrar, est également celui de Vupen Security, une entreprise franco-américaine de sécurité informatique fondée en 2004 à Montpellier, et implantée à Annapolis aux États-Unis. Celle-ci se charge de développer des techniques d’intrusion et de piratage visant les logiciels les plus populaires du marché puis les revend ensuite à prix d’or à des sociétés et des organismes gouvernementaux à travers le monde.
Chaouki Bekrar a déclaré :
« L’objectif principal de Zerodium est de trouver un maximum de failles afin de réduire les risques d’intrusions malveillantes. Nous souhaitons aider à sécuriser les données sensibles pouvant être stockées sur des appareils fonctionnant sous iOS, quelle que soit leur nature. »
Des techniques et un fonctionnement largement controversés
Plutôt que de signaler les failles des logiciels à leurs concepteurs, Vupen Security les exploite et revend ses techniques de piratage à plusieurs sociétés et organismes gouvernementaux. Le procédé est le même en ce qui concerne le hacking d’iOS 9. Les termes de l’offre proposée sont très clairs : toute découverte d’un bug ne pourra être signalée à Apple ou divulguée publiquement, afin que les clients de la société Zerodium puissent user de ces techniques en toute impunité. Apple n’a pour l’heure pas souhaité répondre.
Parmi les anciens clients de Vupen Security, on trouve la NSA ainsi que certains gouvernements de pays membres et partenaires de l’OTAN. Bekrar a refusé de nommer les clients potentiels de Zerodium, mais le site web de la société les décrit comme :
« De grandes entreprises spécialisées dans la défense, la technologie et la finance, ayant besoin de moyens de sécurisation de pointe, ainsi que des organisations gouvernementales. »
L’intéressé avoue ne pas toujours savoir comment les outils de piratage développés ont fini ou ont été utilisés :
« Nous faisons de notre mieux pour nous assurer que ces outils ne seront pas utilisés à de mauvaises fins, mais si vous vendez des armes à quelqu’un, il n y a aucun moyen de garantir qu’elles ne seront pas revendues à un autre organisme. »
Souvent présenté comme un « marchand de mort » et qualifié « d’opportuniste ayant un drôle de sens de l’éthique » par ses détracteurs, Bekrar et ses entreprises sont plus que jamais contestés. Ceux-ci lui reprochent par exemple de ne pas savoir à quels fins sont utilisés ses « outils d’intrusion numérique » et de ne pas chercher à le savoir.
Cependant Zerodium n’est probablement pas le seul « client » intéressé par le hacking d’un système d’exploitation Apple, puisque cela fait de nombreuses années que celui-ci est réputé quasi-impénétrable. L’offre de Zerodium n’est peut-être pas aussi folle que cela, et nombreux seront les hackers qui tenteront de s’adjuger cette « récompense » hors-normes.
Si cet article vous a plu, découvrez aussi comment une cyber-attaque américaine visant la Corée du Nord a échoué ainsi que Hacking Party le jeu de société pour pirate en herbe !