Il y a cinq ans, Zerodium, qui se présente comme la principale plateforme dans le monde d’acquisition d’exploits (un programme informatique permettant d’exploiter une faille de sécurité), offrit une récompense d’un million de dollars à qui pourrait retirer les limitations d’iOS 9 avec une attaque via un navigateur web sur un appareil non lié.
Aujourd’hui, Zerodium informe qu’elle n’achètera plus d’exploits de type Apple iOS LPE, Safari RCE ou évasion de bac à sable, tant elle croule sous le nombre de soumissions… Et que le prix de certaines chaînes d’exploits va sans doute chuter.
We will NOT be acquiring any new Apple iOS LPE, Safari RCE, or sandbox escapes for the next 2 to 3 months due to a high number of submissions related to these vectors.
Prices for iOS one-click chains (e.g. via Safari) without persistence will likely drop in the near future.— Zerodium (@Zerodium) May 13, 2020
Une triste nouvelle pour les chercheurs en cybersécurité, alors que la découverte de tels types de bogues était récompensée de 500 000 à 2 millions de dollars.
En d’autres termes, la sécurité du système d’exploitation iOS est devenue exécrable. « Naze » pour citer Chaouki Bekrar, fondateur de Zerodium.
Pourtant, après les montagnes de bogues découvertes dans iOS 13 peu après son lancement, Craig Federighi, en charge des logiciels chez Apple, avait remanié la façon dont l’entreprise teste ses logiciels, afin de minimiser leur nombre, et d’éviter la répétition d’un lancement désastreux à iOS 14.
Depuis son lancement en septembre 2019, iOS 13 a connu déjà 12 mises à jour.
Et à cette date, pour la première fois, Zerodium a commencé à payer plus pour des vulnérabilités sur Android que sur iOS.
En décembre, Apple étendait son programme de prime aux bogues, sur invitation exclusivement depuis 2016, et uniquement pour iOS, à tout le monde, et à tous ses systèmes d’exploitation, y compris macOS, avec des primes de 25 000 $ à un million.*
Bien sûr, de telles annonces chocs de Zerodium servent ses propres intérêts en faisant parler d’elles. Toutefois, des spécialistes de la cybersécurité pensent qu’elles sont fondées, au moins en partie.
Certains avancent qu’avec les politiques de confinement, les chercheurs de bogues auraient plus de temps à consacrer à cette activité. Mais logiquement, le nombre de vulnérabilités sur les autres plateformes aurait dû aussi augmenter sensiblement.