Le taux d'adoption d'iOS 9 va bon train sur les appareils de la firme à la pomme. Zerodium en profite pour annoncer le lancement de The Million Dollar iOS 9 Bug Bounty. Jusqu'au 31 octobre (un laps de temps finalement assez court pour ce qui est demandé), Zerodium s'engage à débourser un million de dollars pour un individu ou une équipe qui créera et soumettra un jailbreak untethered pour iOS 9.
Le programme est doté de 3 millions de dollars au total. Chaque exploit ou jailbreak complet doit pouvoir contourner toutes les mesures de protection d'iOS 9 et permettre une installation à distance d'une application arbitraire. Il doit s'agir de nouvelles vulnérabilités et pour des attaques menées dans le contexte d'un navigateur, d'un SMS ou MMS.
Les attaques avec un accès physique à un appareil iOS 9 - dont l'iPhone 6 et iPhone 6s - à jour ne sont par exemple pas éligibles. On sent bien à la lecture de l'annonce de Zerodium que l'on n'est pas tout à fait dans l'esprit de la communauté du jailbreak (en tout cas son pendant grand public). Et pour cause, Zerodium est une plateforme premium d'acquisition de vulnérabilités 0-day.
Derrière Zerodium, on retrouve Chaouki Bekrar qui est le fondateur du Français VUPEN et offre un sacré coup de publicité à sa plateforme lancée en juillet. Une paternité sulfureuse qui suppose que les éditeurs comme Apple ne seront pas informés des failles affectant leurs produits… et donc pas de correction pour le grand public.
Par contre, les clients de Zerodium pourront eux prendre connaissance voire acheter l'exploit. Officiellement, il s'agit de clients comme des agences gouvernementales et de grosses entreprises. On se souviendra par ailleurs de la révélation de l'existence d'un contrat entre la NSA et VUPEN.
La plateforme Zerodium d'acquisition de 0-day ne s'arrête pas qu'iOS 9 :
