La fameuse start-up Zerodium a effectivement payé la somme record d’un million de dollars pour acquérir un pack de vulnérabilité zero-day permettant de s’introduire à distance au sein des appareils sous iOS 9. Apple n’en aura pas connaissance pour le moment.
Zerodium avait promis une récompense d’un million de dollars à celui qui parviendrait à élaborer une technique capable de pirater un appareil sous iOS 9 à distance. C’est maintenant chose faite, puisqu’une équipe de hackers vient d’empocher le pactole après avoir livré un véritable kit d’exploitation dédié.
L’équipe en question a en effet réussi à réaliser un jailbreak à distance en se basant sur plusieurs failles et exploits innovants, tous encore inconnus. Le résultat est stupéfiant et redoutable : une seule visite d’une page Web via un les navigateurs Web Safari ou Chrome suffit à l’exploit pour viser un appareil faillible.
Bien entendu, Zerodium ne va pas communiquer les détails sur l’exploit, puisque son but est de le monétiser auprès des gouvernements et agence d’espionnage (NSA comprise donc)… Pour rassurer, l’entreprise indique par le biais de son gérant, Chaouki Bekrar (déjà connu pour la société Vupen), juste la possibilité de les faire parvenir à Apple dans un délai plus ou moins loin, mais ce n’est clairement pas l’objectif principal de l’opération.
Chaouki Bekrar a lui-même confirmé que cet exploit exclusif pour iOS 9 serait commercialisé à ses clients, décrits comme “des organisations majeures dans les secteurs de la défense, de la technologie et de la finance,” ainsi que des “organisations gouvernementales“. Business !