Une faille à un million de dollars a été découverte dans iOS 9, a annoncé Zerodium. En raison de quoi, l'auteur de cette découverte sera récompensé de cette somme. Ce défaut dans iOS permet à des gredins d'accéder à distance au système de leur cible, sans accès physique à son téléphone, en le dupant au moyen d'une page web trafiquée lue par Safari ou Chrome, d'un message SMS, MMS ou fichier multimédia. Ensuite, la porte étant ouverte, le malandrin pourra installer des logiciels de son choix.
C'étaient en tous cas les termes du défi lancé par Zerodium depuis le 21 septembre. Cette organisation a mis en jeu un total de 3 millions de dollars pour obtenir l'exclusivité sur au moins 3 failles encore inconnues dans iOS 9.
Une autre condition pour qu'une équipe ou un individu puisse empocher son million est que le procédé utilisé ne soit communiqué à personne d'autre. Le nom du supposé gagnant est d'ailleurs inconnu. Ce qui fait dire à d'autres spécialistes en sécurité qu'il s'agit peut être seulement d'un coup de pub.
Cependant, Zerodium a quelques crédits à faire valoir. Cette plateforme d'acquisition de failles de sécurité a été cofondée par le français Chaouki Bekrar, déjà à la tête de Vupen Security. Cette dernière, né à Montpellier mais partie à l'étranger depuis, a plusieurs fois remporté des concours - avec argent sonnant et trébuchant à la clef — pour faire tomber les barrières de sécurité des navigateurs web.
L'objectif revendiqué de Zerodium est d'acheter au prix fort des failles zéro day (inédites et inconnues des auteurs des logiciels visés) et s'en réserver l'utilisation. Par exemple en vendant ses services à ses clients — entreprises ou gouvernements — pour les aider à se protéger de ces failles présentes dans les logiciels et systèmes qu'ils utilisent.
Ce type de commerce nourrit aussi des soupçons sur la revente de ces failles à des organisations qui veulent les exploiter à leur profit plutôt que s'en prémunir. En 2013, des documents de la NSA rendus publiques avaient révélé ses accords commerciaux avec Vupen Security signés en 2012. Les informations collectées par Vupen auraient servi au programme Prism révélé par Edward Snowden. Un bureau de Vupen est d'ailleurs installé dans le Maryland, dans le voisinage de l'agence américaine de surveillance.
