iOS serait perclus de vulnérabilités et de failles de sécurité, soutient Zerodium. Le fonds de commerce de cette entreprise, c'est l'achat des trouvailles des chercheurs en sécurité informatique pour les revendre à des organisations gouvernementales, ce qui leur permet en retour de mettre au point des outils pour pénétrer les appareils verrouillés ou pour les pirater. Pour une faille iOS fonctionnelle, Zerodium verse entre 100 000 $ et 2 millions de dollars. Mais là, la société a décidé de ne plus rien acheter pendant les deux à trois prochains mois.
La raison ? Un grand nombre de soumissions pour des failles dans iOS, Safari, ou pour casser le « bac à sable » du système. Et les prix des récompenses vont certainement baisser dans un proche avenir. Autrement dit, iOS est un fromage à trous au niveau de la sécurité, quand bien même celle-ci fait partie des arguments de vente d'Apple.
Chaouki Bekrar, le patron de Zerodium, va plus loin sans prendre de gants : « la sécurité d'iOS est foutue ». Il existe plusieurs failles « 0 day » persistantes qui touchent l'iPhone et l'iPad, soutient-il. « Espérons qu'iOS 14 soit meilleur », conclut le dirigeant. L'apparition l'an dernier de Checkm8, une faille persistante et quasiment impossible à corriger, a revigoré la scène du jailbreak contre laquelle Apple redouble d'énergie (lire : Apple de nouveau très agressive contre le jailbreak).
Cette faiblesse dans la cuirasse d'iOS est aussi exploitée par les siphonneurs de données comme Cellebrite et Elcomsoft. Dans ces conditions, rémunérer de nouvelles failles de sécurité n'a plus beaucoup de sens puisque Checkm8 fait tout le boulot. Depuis la fin de l'année dernière, Apple a ouvert son programme de chasse aux bugs à toutes ses plateformes et à tous les chercheurs.
