Autrefois moins bien valorisées que les failles iOS, les vulnérabilités zero day Android dites « zero-click jailbreaks » ont été revues à la hausse par Zerodium : 2,5 millions de dollars attribués à toute personne capable d’en dénicher une.

Une évolution tarifaire qui en dit long sur le degré de sécurité des systèmes d’exploitation mobiles Android et iOS. Des années durant, le logiciel de la marque à la pomme a bénéficié d’une image soyeuse et d’une bonne réputation en matière de sécurité auprès de la communauté. Un constat quelque peu différent pour celui de la firme de Mountain View, plus difficile à mettre à jour de par sa fragmentation sur le marché.

2,5 millions de dollars

Mais depuis le 3 septembre 2019, les rôles se sont semblent-ils inversés : start-up fondée en 2015 par Chaouki Bekrar, Zerodium, qui rachète des failles zero day à des particuliers pour les revendre ensuite aux grandes entreprises et agences gouvernementales, a en effet chamboulé la grille tarifaire de ses récompenses liées aux vulnérabilités exploitables et non répertoriées.

L’entreprise versera désormais 2,5 millions de dollars à tout hacker ou chercheur informatique capable de dénicher et de lui communiquer une faille zero day Android. Mais pas n’importe quel type : les zero-click jailbreaks uniquement, soit les brèches dénuées de toute interaction avec l’utilisateur. Une hausse qui coïncide tout particulièrement avec le déploiement d’Android 10, dernière version majeure de l’OS Google.

Crédit photo : Przemyslaw Marczynski via Unsplash.

« L’évolution tarifaire observée est très intéressante : soit la demande a chuté – dans ce cas, cela signifie que les agences fédérales et les entreprises ont commencé à trouver leurs propres failles -, soit l’offre a augmenté. J’opterai pour la seconde hypothèse », analyse Patrick Wardle dans les colonnes de CyberScoop, chercheur en sécurité chez Jamf, spécialisé dans les appareils Apple.

Du côté d’iOS, une telle brèche vaut la coquette somme de deux millions de dollars depuis janvier 2019. Ce nouvel écart trouve une partie de ses réponses dans les récentes révélations liées à la sécurité des iPhone : d’un côté, l’entreprise de Cupertino a essuyé plusieurs revers informatiques faisant de facto baisser sa cote globale, de l’autre, Google a considérablement renforcé ses systèmes, devenus plus difficiles à contourner.

« Plus le prix est élevé, meilleure est la sécurité du produit »

Menées par les équipes du Projet Zero de Google, des récentes recherches ont mené vers des trouvailles délicates : pendant des années, les iPhone ont pu être piratés à cause de sites vérolés. Deux mois plus tôt, en juin, une entreprise affirmait pouvoir extraire les données de n’importe quel iPhone pour la police. Des affaires qui ont logiquement fait de l’ombre au système d’exploitation de la multinationale.

« Plus le prix est élevé, meilleure est la sécurité du produit », déclarait Chaouku Bekrar à CyberScoop en 2017. En mettant en place une nouvelle tarification plus avantageuse à l’égard des failles extrêmes dénichées au sein d’Android, Zerodium sous-entend donc que ce dernier se veut plus sécurisé que son concurrent iOS.

Partager sur les réseaux sociaux