Pour gagner un million de dollars, c'est facile : il suffit de trouver une faille 0 day dans iOS 9 ! C'est la chasse organisée par Zerodium, une « plateforme » de sécurité informatique qui revend ses découvertes au plus offrant, qu'il s'agisse du constructeur ou de l'éditeur du produit « craqué », ou une organisation gouvernementale. Le programme est ouvert à tous les bidouilleurs, casseurs de code, spécialistes du jailbreak et de l'ingénierie inverse, chercheurs et autres amateurs, en équipe ou seul ; ils devront débusquer une faille 0 day dans iOS 9, c'est à dire une vulnérabilité inconnue et évidemment sans correctif.
Cette faille devra être exploitable à distance, c'est à dire depuis une page web (Safari ou Chrome dans leur configuration de base), un SMS ou un fichier multimédia envoyé par MMS. Inutile de se présenter à la porte du concours s'il faut en passer par un accès physique à l'appareil. La vulnérabilité devra permettre l'installation persistante d'une application comme Cydia.
Le bidouilleur iH8sn0w a démontré il y a quelques jours un déplombage untethered de la GM d'iOS 9 — il existe donc, évidemment, des failles au sein du système d'exploitation. La chasse à la vulnérabilité de Zerodium récompensera jusqu'à trois individus ou équipes, soit 3 millions de dollars en tout. Elle se poursuivra jusqu'au 31 octobre, à moins que la somme totale ait été dépensée auparavant.
Ce genre de récompense est loin d'être une première. C'est même une pratique courante pour pousser les amateurs (ou des équipes chevronnées) à trouver des vulnérabilités qui pourront être ensuite bouchées, ou… exploitées par les coquins.
