La sécurité de l’iPhone, ce n’est plus ce que c’était. En témoignent les prix que pratique l’entreprise Zerodium pour l’achat d’une méthode de piratage « zéro-clic » sur l’OS de Google.
Les temps changent. Spécialisée dans la vente d’attaques informatiques, l’entreprise Zerodium vient de mettre à jour sa liste de prix, et pour la première fois le piratage de smartphones Android est mieux rémunéré que celui de l’iPhone. Un hacker qui trouve une méthode complète de piratage sur Android, avec persistance et sans aucune interaction avec l’utilisateur (« zéro-clic »), peut désormais gagner jusqu’à 2,5 millions de dollars. Celui qui trouve une méthode équivalente sur iPhone, en revanche, ne pourra espérer « que » 2 millions de dollars.
C’est une surprise, car jusqu’à présent, les failles sur iOS ont toujours été mieux rétribuées que celles sur Android. Ainsi, il y a encore un an, un piratage zéro-clic sur iPhone valait 1,5 million de dollars, la prime maximale versée par Zerodium, tous systèmes confondus. Mais sur Android, un hacker ne pouvait au mieux recevoir que 200 000 dollars.
Android reprend du poil de la bête
Le système d’Apple, en effet, a toujours été considéré comme étant mieux sécurisé. Par ailleurs, les iPhone et iPad sont plus faciles à mettre à jour. Dans l’ensemble, leur piratage était donc plus difficile. Pour un smartphone Android, en revanche, les procédures de mise à jour ont toujours été compliquées, en raison du nombre de versions différentes du système et des intermédiaires pas toujours très réactifs (opérateurs, fournisseurs).
Comment s’explique ce bouleversement ? Interrogé par ZDnet, Chouakri Bekrar, PDG de Zerodium, explique que le marché est submergé par des méthodes de piratage pour iOS, à tel point qu’il a même été contraint de refuser des offres. Ces chaînes d’exploitation seraient généralement basées sur Safari ou iMessage. « D’un autre côté, la sécurité d’Android s’améliore à chaque nouvelle version du système d’exploitation grâce aux équipes de sécurité de Google et de Samsung. Il devient donc très difficile et fastidieux de développer des chaînes d’exploitation complète pour Android, et il est encore plus difficile de développer des méthodes sans aucune interaction de l’utilisateur », explique le PDG.
Safari et iMessage, principales portes d’entrée
Zerodium compte reconsidérer la situation le jour où Apple « améliore la sécurité d’iOS et renforce les zones les plus faibles que sont iMessage et Safari ». Il est vrai que, côté sécurité, la firme de Cupertino est actuellement dans le creux de la vague et collectionne les mauvaises nouvelles. Il y a quelques jours, les chercheurs en sécurité de Google ont révélé des attaques sans précédent sur des iPhone, au travers de pages web piégées. Au passage, les experts de Google ont épinglé la qualité du code créé par Apple.
Et ce n’est pas tout. Fin août, une mise à jour d’iOS a bizarrement réintroduit une faille critique qui avait précédemment été colmatée. Et début août, à l’occasion de la conférence Black Hat USA 2019, les chercheurs de Google ont montré à quel point iMessage, une application devenue de plus en plus riche et complexe, est devenue le talon d’Achille du terminal d’Apple. Bref, la bonne image de l’iPhone se fissure de plus en plus, et il est temps de réagir.
Source : ZDnet