Le mois dernier, Zerodium s'offrait un coup de com' à un million de dollars en lançant son programme The Million Dollar iOS 9 Bug Bounty. Jusqu'au 31 octobre, la somme d'un million de dollars était mise en jeu pour un individu ou une équipe proposant un jailbreak untethered pour iOS 9 avec quelques exigences bien définies.
La société, qui achète et vend des exploits 0-day, annonce une équipe gagnante qui a soumis dans les délais impartis un jailbreak untethered pour iOS 9.1 et iOS 9.2 bêta dont l'exécution peut se faire à distance depuis le navigateur.
Our iOS #0day bounty has expired & we have one winning team who made a remote browser-based iOS 9.1/9.2b #jailbreak (untethered). Congrats!
— Zerodium (@Zerodium) 2 Novembre 2015
En l'occurrence, il s'agit de la découverte de plusieurs vulnérabilités dans Google Chrome et iOS afin de passer outre presque toutes les mesures de protection et parvenir à un jailbreak complet. Le concours nécessitait que les exploits soient fonctionnels sur l'iPhone 6 et iPhone 6s, et donc sans accès physique.
On rappellera que le dernier jailbreak public est celui de la team Pangu pour iOS 9.0 à 9.0.2. Les exploits utilisés pour celui-ci ont été comblés dans iOS 9.1. Quant à un jailbreak iOS à distance, on a plus vu cela depuis belle lurette.
Derrière Zerodium, on retrouve Chaouki Bekrar connu pour être le fondateur de VUPEN. Il est dès lors hautement probable que les secrets du jailbreak à un million de dollars seront bien gardés, sauf pour des agences gouvernementales qui mettront le prix. La NSA ?
Interrogé par Motherboard, Chaouki Bekrar a précisé que les vulnérabilités mises au jour sont encore testées afin de s'assurer que leur enchaînement dans l'exploit répondent entièrement aux règles du programme de récompenses.
Il a refusé de donner l'identité de l'équipe qui a remporté le gros lot. Il a également gardé le silence sur des détails de l'exploit et le montant auquel il sera revendu. Il a ajouté qu'Apple devrait probablement corriger les bugs impliqués d'ici quelques semaines… à quelques mois.
A priori, le grand public n'est pas gagnant dans cette affaire avec des vulnérabilités de sécurité dont Apple n'aura pas directement connaissance et peut ainsi craindre des charges utiles malveillantes. Quant aux jailbreakers, ce n'est probablement pas de Zerodium que viendra le prochain jailbreak.