iPhone : une faille à un million de dollars

Zerodium précise que la pénétration initiale doit se produire le plus simplement possible, à partir d’un site Web piégé consulté sur les navigateurs Safari ou Chrome, ou par l’intermédiaire d’un SMS infecté d’apparence anodine. En juillet, une équipe chinoise baptisée « K33N » avait réussi à jailbreaker iOS 9 sur un appareil qu’elle avait en sa possession, mais pas à distance.

Le 2 novembre, quelques heures avant la date limite qu’elle s’était fixée, Zerodium a annoncé sur Twitter qu’une équipe de hackeurs, qui souhaite bien sûr rester anonyme, a réussi : elle a découvert dans les toutes dernières versions de l’iOS 9 (publiées courant octobre) une faille directement exploitable à distance.

Deux jours plus tard, Chaouki Bekrar confirme la transaction: « jailbreak testé, fonctionnel et acquis. »

Zerodium est une entreprise spécialisée dans le commerce de failles zero day – des vulnérabilités inédites et inconnues, pour lesquelles il n’existe pas encore de parade. Le marché mondial du zero day est clandestin, mais florissant. Les clients « naturels » sont les éditeurs des logiciels compromis, ou leurs sociétés de sécurité, qui ont besoin de comprendre le fonctionnement de l’attaque pour trouver une parade et restaurer la sécurité du produit. Mais très souvent, si la vulnérabilité est exploitable à grande échelle, d’autres acteurs sont prêts à surenchérir : des escrocs, des entreprises voulant attaquer secrètement leurs concurrents, et bien sûr des administrations – polices, armées et agences de renseignement du monde entier.

Zerodium est une toute jeune société, créée au printemps 2015, mais son fondateur, Chaouki Bekrar, un Français âgé de 35 ans, est déjà une star dans le milieu. Dès 2004, il a créé à Montpellier la société Vupen Security (vulnérabilité-pénétration), qui s’impose rapidement comme un leader de la fabrication et de la vente de zero day à l’échelle mondiale. En 2012, Chaouki Bekrar provoque un scandale : son équipe découvre une faille dans le navigateur Chrome de Google, mais il refuse de la livrer à Google, qui offre « seulement » 60 000 dollars de récompense pour ce type d’exploit. Il prétend qu’il a déjà des clients potentiels beaucoup plus généreux. A l’époque, des responsables de Google avaient protesté, et lancé une campagne médiatique contre Chaouki Bekrar, mais dès l’année suivante, Google et Vupen Security se réconcilient plus ou moins.

Pour ne pas être accusé de collusion avec des gouvernements ennemis ou des groupes terroristes, Chaouki Bekrar affirme qu’il travaille uniquement avec des pays membres de l’Otan, de l’Anzus (Traité de sécurité entre l’Australie, la Nouvelle-Zélande et les Etats-Unis), de l’Asean (Association des nations de l’Asie du Sud-Est), ainsi qu’avec leurs alliés – ce qui inclut malgré tout une large gamme de régimes autoritaires. Fin 2013, peu après les révélations de l’ancien espion américain Edward Snowden sur les programmes de surveillance de masse de la NSA, une journaliste indépendante américaine découvre que Vupen Security a facturé des services à la NSA. De son côté, l’hebdomadaire Der Spiegel affirme que l’entreprise a aussi travaillé pour l’agence de renseignement allemande, la BND.

En octobre 2013, Chaouki Bekrar décide de s’expatrier, par étapes. Il ouvre une succursale aux Etats-Unis, près de Washington, dans le Maryland – à quelques kilomètres de Fort Meade, où est installé le quartier général de la NSA. En mai 2015, Vupen Security France ferme définitivement, alors que les affaires semblaient prospères : en 2014, la société avait déclaré un chiffre d’affaires de 2,9 millions d’euros et un résultat net de 1,2 million. Parallèlement, Chaouki Bekrar crée Zerodium, et change en partie de métier, puisque désormais, il va acheter des zero day à des équipes extérieures.

Zerodium se dit intéressée par des vulnérabilités dans les principaux systèmes d’exploitation (Mac, Windows, Linux), les navigateurs Web grand public, les logiciels d’audio, de vidéo et de bureautique, les téléphones mobiles, les serveurs Web et e-mail, les applications professionnelles pour administrateurs système… Elle est aussi preneuse de méthodes de contournement des systèmes de défense contre les attaques informatiques.

Chaouki Bekrar, qui affirme tweeter depuis Washington, refuse de donner l’adresse exacte de sa société. Cela dit, les équipes de Zerodium sont visibles, car elles participent à de nombreux événements professionnels : en octobre, à Singapour, Pékin, Melbourne et Buenos Aires ; en novembre, à Moscou puis à Séoul.

En ce qui concerne la vulnérabilité de l’iOS 9, Chaouki Bekrar ne dit pas ce qu’il va en faire, mais vu son coût, il ne va sans doute pas la livrer tout de suite à Apple, qui se dépêcherait de trouver une parade. Il pourrait essayer de la vendre à des grandes entreprises des secteurs de la finance ou de l’armement qui peuvent avoir intérêt à exploiter ces failles, ou à des agences officielles impliquées dans la cybersécurité – défensive et offensive. A noter que depuis plus d’un an, la police fédérale américaine se plaint régulièrement que les dernières versions de l’iPhone sont trop bien sécurisées et que les iMessage, le système de messagerie instantanée d’Apple, sont cryptés, ce qui empêche ses agents de surveiller les criminels et les terroristes amateurs de produits Apple.