Le marché est « inondé » de failles iOS, qui payent moins que les failles Android
Les hackers sont-ils devenus trop forts pour Apple ? Motherboard détaille l’état actuel du marché de la sécurité dans l’industrie et il se trouve que le marché pour les failles 0-day (c’est-à-dire des failles qui ne sont pas connues des constructeurs) est « inondé » d’exploits sur iOS.
« Le marché du 0-day est inondé par les exploits d’iOS, principalement des enchaînements de failles sur Safari et iMessage, parce que de nombreux chercheurs en sécurité ont transformé leur attention en exploitation d’iOS à temps plein. Ils ont absolument détruit la sécurité et les mesures d’atténuation d’iOS. Il y a tant d’exploits pour iOS que nous commençons à refuser certains d’entre eux », explique Chaouki Bekrar, le fondateur de Zerodium, une société qui propose d’acheter les failles de sécurité.
D’ailleurs, Zerodium rémunère davantage ceux qui trouvent une faille sur Android que ceux qui en trouvent une sur iOS désormais. Ainsi, celui qui trouve des failles permettant d’avoir le contrôle total d’un appareil Android sans interaction de l’utilisateur peut toucher 2,5 millions de dollars. On tombe à 2 millions de dollars pour iOS. Zerodium a également revu à la baisse un exploit qui requiert une interaction de l’utilisateur sur iOS. Le prix est passé de 1,5 million de dollars à 1 million de dollars.
Andrea Zapparoli Manzoni, responsable de la société Crowdfense qui achète des failles pour les revendre à des gouvernements, a un discours similaire. Il explique qu’il y a maintenant plus de failles iOS que de failles Android, mais précise tout de même que celles sur iOS ne sont pas toutes 100% exploitables.
Apple a récemment revu son programme de récompenses pour la découverte de failles de sécurité. En plus de l’ouvrir à tout le monde, Apple offre désormais jusqu’à 1 million de dollars, contre 200 000 auparavant.
« Apple a récemment revu son programme de récompenses pour la découverte de failles de sécurité. En plus de l’ouvrir à tout le monde, Apple offre désormais jusqu’à 1 million de dollars, contre 200 000 auparavant. »
C’est exactement ce que je disais sur un précédent post sur le Jailbreak.
Mort annoncé peut etre, mais il est vrai que desormais il vaut mieux vendre sa trouvaille que de la faire partager.
Apple trop radin vis a vis des autres, dommage pour eux, a un moment il va falloir réagir et fort! Les derniers jailbreak ont et trouvés par des equipes chinoises, certains ont partager d autres non. Quand on connait un peu leur gouvernement on a de soit s inquiéter, d autant qu Apple continue de produire chez eux. C’est le chat qui se mort la queue …
Pas étonnant ça fait plusieurs années maintenant que iOS et MacOS sont loins devant les autres en ce qui concerne les failles, que ce soit de simples failles des failles critiques.
Ce n’est pas ce que dit l’article. Relisez bien : les chercheurs trouvent plus de failles… parce qu’ils se focalisent essentiellement sur iOS, parfois à temps plein, d’une part parce que cela se médiatise beaucoup plus facilement (montrer une faille sous Android a longtemps été banal), et parce que cela payait bien mieux il y a peu encore. Vous avez des équipes de hackers qui cherchent aujourd’hui seulement des failles sur iOS (100% de leur activité), parce que ces dernières sont plus facilement monétisables derrière (et souvent pour de mauvaises raisons, les « acheteurs » de ces failles sont rarement armés de bonnes intentions). Mais il est temps en effet qu’Apple comble les failles Zero Day de Safari mobile, qui est un véritable nid à failles et qui aurait du être réécrit depuis longtemps.
Cherche pas c’est blindé de fail arrête de vouloir defendre ça sert a rien
Ton argumentaire est digne d’un collégien. « T’es pas d’accord avec moi ? Alors je t’insultes ». Ridicule. D’autant qu’il n’a pas tort, plus de faille trouvé n’implique pas nécessairement une sécurité compromise et exploitable pour les appareils.
@Fouiny
L’article est pourtant très clair. Depuis plus d’un an, Zerodium (et d’autres) rémunéraient mieux les failles iOS, qui étaient aussi largement plus médiatisables que les failles Android (sans compter que les utilisateurs iOS ont la réputation d’être plutôt des CSP+, ce qui attire forcément les hackers et autres malandrins numériques). C’est bien pour cela que Zerodium rémunère désormais plus grassement les failles Android : c’est un moyen de pousser les équipes de chercheurs/hackers à se focaliser à nouveau sur Android (encore une fois, tout est dans l’article). C’est une simple question d’argent et de caisse de résonnance médiatique, même s’il faut reconnaitre un immense bénéfice à ce retournement de tendance : les failles Zero day sont découvertes à un bon rythme, et les casseurs de code fournissent un travail qui permettra à Apple de combler plus efficacement les brèches d’iOS, qui passent essentiellement aujourd’hui via Safari ou iMessage (normalement, Apple aurait du fournir ce travail de sécurisation du code, mais bon…). Et comme Apple rémunère ENFIN correctement les découvreurs de grosses failles, tout le monde est gagnant au final, même si la réputation d’ultra-sécurité d’iOS en prend forcément un coup (mais Zerodium n’a jamais dit qu’iOS était moins sécurisé qu’Android par exemple).
C’est plutôt toi qui n’a rien compris à l’article. On donne de la cherté à ce qui est rare. Pourquoi payer plus chère sur les failles Android et moins sur iOS ? Arrêtez cette guéguerre entre Android et iOS. Et d’ailleurs si on pensait qu’iOS était mieux sécurisé, c’est tout simplement parce que c’était moins populaire par le passé. Et puisqu’il est en vogue aujourd’hui, les gens s’y intéressent beaucoup, y compris les Hackers. En informatique, il y a toujours une faille. Il n’y aura jamais de sécurité à 100%. Il n’y a que ceux qui ne savent rien à cela qui applaudissent toutes ces sociétés qui nous mentent pour vendre leurs produits.
J’avais bien compris l’article, pas de soucis là-dessus.
Ca fait plusieurs années maintenant que iOS et MacOS sont passés au crible étant donné que la base installée permet de toucher énormément d’appareils. (C’était le cas 10 ans plus tôt pour Windows, et on nous sortait qu’Apple c’était plus sûr, Apple c’est la sécurité….)
Apple n’a jamais été plus sûr que les autres, juste moins attaqué parce que moins installé jusqu’ici. Maintenant que la base installée est devenue intéressante, bah les failles pleuvent (comme Windows 10 ans plus tôt) et en deviennent moins rentables.
Il y a 10 ans (20 même) : Windows a des virus, lol c’est nul !
Aujourd’hui : iOS a des virus, mais c’est parce que des chercheurs s’y sont intéressés, parce que ya plus de gens dessus donc les hackeurs attaque, parce que c’est l’OS le plus populaire, parce que ce sont des haters, parce que heu !
On me dit dans mon oreillette que Apple c’est super sécurisé, ça n’existe pas des failles chez eux.
Je serais curieux de connaitre le nombre de faille sur imessage , sur safari ce n’est un secret pour personne apple a persister sachant que la base était défaillante
Ceux qui sont chez Apple ce n’est pas par rapport à l’absence de faille mais par rapport à la capacité d’Apple à réagir via les mises à jour lorsqu’une faille est détectée.
Ouais puis surtout à la fluidité, à l’ergonomie, l’écosystème etc. Pour rien au monde j’irai sur Android. J’ai mon iPhone, mon macOS (et un Windows d’ailleurs) et c’est parfait !
Et oui plein plein de trou trou :)
Une question d’interprétation et de logique ,
Si Apple passe de 200 k à 1M de dollars pour racheter des failles de sécurités, et que peux de temps après le prix moyen sur le marché gris chute de 500 k euro. Aide à la mise en perspective, on passe d’un DELTA de 2M3 à 1M entre les deux marché.. que peut on en déduire? Vous avez 2h.