Les hackers sont-ils devenus trop forts pour Apple ? Motherboard détaille l’état actuel du marché de la sécurité dans l’industrie et il se trouve que le marché pour les failles 0-day (c’est-à-dire des failles qui ne sont pas connues des constructeurs) est « inondé » d’exploits sur iOS.

« Le marché du 0-day est inondé par les exploits d’iOS, principalement des enchaînements de failles sur Safari et iMessage, parce que de nombreux chercheurs en sécurité ont transformé leur attention en exploitation d’iOS à temps plein. Ils ont absolument détruit la sécurité et les mesures d’atténuation d’iOS. Il y a tant d’exploits pour iOS que nous commençons à refuser certains d’entre eux », explique Chaouki Bekrar, le fondateur de Zerodium, une société qui propose d’acheter les failles de sécurité.

D’ailleurs, Zerodium rémunère davantage ceux qui trouvent une faille sur Android que ceux qui en trouvent une sur iOS désormais. Ainsi, celui qui trouve des failles permettant d’avoir le contrôle total d’un appareil Android sans interaction de l’utilisateur peut toucher 2,5 millions de dollars. On tombe à 2 millions de dollars pour iOS. Zerodium a également revu à la baisse un exploit qui requiert une interaction de l’utilisateur sur iOS. Le prix est passé de 1,5 million de dollars à 1 million de dollars.

Andrea Zapparoli Manzoni, responsable de la société Crowdfense qui achète des failles pour les revendre à des gouvernements, a un discours similaire. Il explique qu’il y a maintenant plus de failles iOS que de failles Android, mais précise tout de même que celles sur iOS ne sont pas toutes 100% exploitables.

Apple a récemment revu son programme de récompenses pour la découverte de failles de sécurité. En plus de l’ouvrir à tout le monde, Apple offre désormais jusqu’à 1 million de dollars, contre 200 000 auparavant.