Image: Cathryn Virginia

Des hackers percent les secrets d’Apple grâce à des prototypes d’iPhone

Peu de gens en ont entendu parler, mais les iPhone « dev-fused » vendus sur le marché clandestin sont un des outils les plus importants pour les hackers.

|
25 Avril 2019, 7:00am

Image: Cathryn Virginia

Debout devant les meilleurs hackers d'iPhone du monde, le chercheur en sécurité Matthew Solnik a posé la question qui intriguait les centaines de personnes présentes.

« Et maintenant, parlons du sujet brûlant : comment a-t-on fait ? » a-t-il commencé pour conclure un des discours les plus anticipés de Black Hat, une conférence sur la sécurité, à Las Vegas, début août 2016. Des chercheurs d’une entreprise commercialisant des services de hacking d'iPhone, des policiers du monde entier ainsi que les propres employés d’Apple se trouvaient parmi les centaines de professionnels de sécurité et de hackers présents sur place.

Pour la première fois, Solnik et son équipe avaient été capables d’analyser le Secure Enclave Processor (SEP) de l’iPhone, le composant chargé du chiffrement des données du smartphone. Comment avaient-ils fait ? C'est une question tout à fait légitime au vu du souci de la confidentialité notoire d’Apple et du fait que le SEP est l'un des composants les plus importants de l’iPhone, le smartphone le plus sécurisé sur le marché, et donc l'un des secrets les mieux gardés de la planète.

« Eh bien, vous pourrez nous poser la question la prochaine fois » a tranché Solnik. (Solnik m’a répété la même chose lorsque je l’ai abordé après la conférence.)

Il n’y a jamais eu de prochaine fois : son équipe n’a jamais évoqué ses méthodes publiquement.

Deux ans plus tard, Motherboard est en mesure de révéler les ficelles de ce succès. Lors de notre enquête, nous avons également découvert comment les pirates d’iPhones étudient les composants et les processus de l’appareil.

« Pour un jailbreaker, c’est la poule aux œufs d’or. »

Solnik et son équipe ont utilisé un iPhone « dev-fused », créé à l’origine pour un usage interne à Apple, pour extraire et étudier le logiciel SEP sensible, selon quatre sources bénéficiant de connaissances spécifiques sur la façon dont l’étude a été conduite. Dans l’industrie de la recherche en sécurité, les appareils « dev-fused » sont parfois appelés « prototypes ». Ce sont des téléphones qui ne sont pas allés au bout de la chaîne de production ou qui ont été ramenés au niveau développement.

En d’autres termes, ce sont des appareils pré-jailbreakés.

De nombreuses fonctions de sécurité sont désactivées sur ces iPhone rares, ce qui permet aux chercheurs de les analyser bien plus facilement que les iPhone vendus en libre-service. Depuis la conférence Black Hat, les chercheurs en sécurité utilisent les iPhone « dev-fused » pour trouver des failles encore inconnues dans l’iPhone (connues sous le nom de vulnérabilité zero-day).

Les iPhone « dev-fused » n’auraient jamais dû sortir de la chaîne de production d’Apple. Ils se sont pourtant frayé un chemin jusqu'au marché gris, où trafiquants et intermédiaires les revendent pour plusieurs milliers de dollars aux hackers et autres spécialistes en cyber-sécurité. Grâce aux informations récoltées en explorant un appareil dev-fused, ces chercheurs peuvent parfois développer des hacks pour les iPhones standards possédés par des millions d’utilisateurs — et, ce faisant, obtenir un gros retour sur investissement.

Au cours de l'enquête, qui a duré plusieurs mois, Motherboard s'est entretenu avec une vingtaine de sources — des chercheurs en sécurité, des employés d’Apple anciens et actuels, des collectionneurs de téléphones portables et des membres de la communauté du jailbreak d’iPhone. Nous avons utilisé l'un de ces appareils et obtenu un accès root, c'est-à-dire un contrôle total sur le téléphone. L’accès root permet aux chercheurs d'explorer plusieurs des composants et des process les plus importants du smartphone. Nous avons également appris que certaines entreprises et experts indépendants de tout premier ordre utilisaient ces appareils pour dénicher des bugs susceptibles d'intéresser certains gouvernements et agences gouvernementales.

Un iPhone dev-fused connecté à un Mac à l'aide d'un câble spécial. Image : Motherboard

Au Black Hat, Solnik et ses deux anciens collègues, David Wang et Tarjei Mandt — aussi connus sous les pseudonymes Planetbeing et Kernelpool dans la communauté jailbreak — ont réussi à débloquer les portes du SEP avec un exposé technique bluffant, expliquant, entre autres, la façon dont le processeur d’application du téléphone et le SEP communiquent grâce à une « boîte mail sécurisée », le « bootflow » du SEP et les « opcodes » spécifiques qu’Apple utilise pour lire les informations du processeur.

Pour les hackers d'iPhone, la conférence était un don du ciel. À l’époque, Patrick Gray, qui présente un podcast infosec influent, l’a décrit comme un « guide how2pwn » pour le SEP, et donc pour l’iPhone.

Si l’iPhone est si difficile à pirater, c'est en partie parce qu’il est pratiquement impossible d’étudier le fonctionnement du SEP et d’autres composants cruciaux. C’est parce que le système d’exploitation du SEP est crypté et, en théorie, ne peut être extrait ou soumis à une rétro-ingénierie depuis un iPhone standard. Depuis un appareil dev-fused, cependant, c’est tout à fait possible. L’expérience a par ailleurs été réitérée par d’autres chercheurs depuis la conférence de Solnik.

Un jailbreaker d’iPhone, qui a souhaité être identifié sous le nom de Panaetius, a confié à Motherboard : « J’aimerais pouvoir vous dire qu’ils ont réussi à contrôler le système, mais comme bien d’autres dans ce domaine, l’équipe de Solnik a exploité des prototypes spécifiques. » Panaetius ne voulait pas que son identité soit révélée car il possède lui-même des appareils dev-fused et craint des poursuites d’Apple.

Un ancien employé de l’équipe de sécurité d’Apple a confié à Motherboard qu’il avait approché Wang après la conférence. Lorsqu’il a demandé à Wang comment l’étude du SEP avait été menée, il lui a répondu que Solnik s’était procuré un dev-phone et avait récupéré les données du firmware grâce aux outils standards d’Apple.

Un chercheur en sécurité iOS indépendant, qui s’est exprimé anonymement pour préserver sa réputation dans la communauté du jailbreaking, nous a dit que « Solnik était blindé d'iPhone dev-fused » pendant son exposé sur le SEP.

Un autre chercheur en sécurité iOS, qui n’a également pas souhaité être identifié, a confirmé qu’il avait vu les appareils dev-fused de Solnik et les câbles spécifiques utilisés pour les faire fonctionner en prévision de la discussion sur le SEP au Black Hat.

Solnik, Wang et Mandt n’ont pas répondu à notre demande de commentaire. (Au moment de la conférence, Wang et Mandt travaillaient pour Azimuth, une société australienne qui fournit des outils de piratage sophistiqués aux gouvernements américain, canadien et britannique, parmi d’autres. Solnik venait juste de quitter Azimuth.) Solnik a été le sujet d’un épisode de Phreaked Out, la série documentaire de Motherboard de 2014 sur le piratage.

À l’époque, lui et son équipe ont sans doute été les premiers à accéder au SEP, mais, grâce à la prolifération des iPhone dev-fused, d’autres ont réitéré cette prouesse. Lisa Braun, une chercheuse indépendante spécialiste d’iOS sous pseudonyme, a récemment déclaré avoir réussi à sauvegarder le SEP depuis un prototype d'iPad Air 2.

Et elle n’est pas la seule.

1556033596090-devfused
Plusieurs iPhone dev-fused de la collection de Giulio Zompetti. Image : Giulio Zompetti

Selon cinq sources dans le monde du piratage d'iPhone, Cellebrite, une entreprise de renseignement numérique qui vend des appareils permettant de débloquer des iPhones, a acheté et utilisé des appareils dev-fused pour développer ses produits. Cellebrite n’a pas répondu à notre demande de commentaire.

Chris Wade, le co-fondateur de Corellium, une startup qui commercialise un produit permettant aux utilisateurs de créer des instances virtuelles de quasiment tous les appareils iOS au monde, s’est également procuré ces prototypes, selon trois sources du monde du piratage d’iPhone et trois revendeurs.

Wade, connu sous le nom de cmw dans la communauté du jailbreaking, a affirmé à Motherboard qu’il n’avait jamais acheté d’appareil dev-fused. Il a cependant admis en avoir manipulé à une conférence, mais a réfuté leur utilisation au profit du développement de Corellium. (Dans un tweet de 2016, Wade plaisante néanmoins sur le fait de posséder des prototypes d’iPhone.)

« Je veux être transparent sur le fait que nous n’avons jamais utilisé ni n’utilisons actuellement de dev-phones @Corellium. Nous refusons d’acheter des produits volés à Apple ! » a déclaré Wade à Motherboard au cours d'une discussion en ligne. « J’ai travaillé dur pendant des années sur Corellium et nous n’en avons jamais eu besoin. Utiliser des dev-phones volés est la meilleure façon de se faire assigner en justice par Apple et de foutre sa vie en l’air. »

Avant le discours de Solnik au Black Hat, Apple n’avait toujours pas fourni de kernels décryptés au grand public. L'analyse du kernel, le noyau du système d'exploitation, est l'une des étapes-clés du piratage de l’iPhone. C'est elle qui permet de comprendre le fonctionnement interne d'iOS. Les iPhone dev-fused qui cherchent preneur pour quelques milliers de dollars sur le marché clandestin sont les outils idéaux pour le faire.

« Si vous êtes un hacker, soit vous le faites à tâtons, soit vous choisissez la solution simple et investissez quelques milliers de dollars » a affirmé Luca Todesco, un des chercheurs en sécurité iOS les plus connus au monde, à Motherboard, à propos des acheteurs d’iPhones dev-fused. « Certains préfèrent la seconde option. »

D’autres chercheurs de la communauté ont admis à Motherboard que les appareils dev-fused étaient largement utilisés dans le hacking d'iPhone par les chercheurs en quête de failles zero-day.

Comme l’a dit Mandt dans un tweet de juillet 2017 : « N’importe quel individu peut se procurer un switchboard avec un minimum d’efforts et un peu d’argent. » (« Switchboard » est un autre terme pour certains iPhone dev-fused, et qui fait référence au système d’exploitation propriétaire qu’ils exécutent.)

Bien que ces appareils soient rares, ils ne sont pas difficiles à trouver pour quiconque les cherche un peu.

LES VENDEURS

« Je suis là » me texte-t-il alors que je scrute la foule dans une rue très passante du centre de Manhattan.

En levant les yeux, j’aperçois un homme mince avec de longs cheveux foncés, un chapeau multicolore et, évidemment, un iPhone à la main. Je le suis dans son atelier, à quelques pas de là. Un lecteur d’empreintes monté et programmé par ses soins permet d'ouvrir la porte. Dans l’atelier, quelques skateboards électriques, deux aquariums et un signe « If you taka my space I breaka your face » (« Si tu prends mon espace, je te casse la gueule » à la sauce italo-américaine).

L’homme est un des rares au monde à ouvertement promouvoir et vendre des iPhone dev-fused. Il possède un compte Twitter appelé « Apple Internal Store », mais ne donne pas sa véritable identité pour éviter les représailles de la multinationale. Il fait explicitement de la publicité pour les appareils dev-fused et d’autres prototypes d’iPhone en vente. Par exemple, un des modèles d'iPhone X dev-fused coûte 1800$. Il a accepté de me rencontrer après que je l’ai contacté via Twitter.

Le vendeur m’avoue avoir déjà fourni ses produits à plusieurs chercheurs en sécurité et est convaincu que de nombreuses entreprises de sécurité qui piratent les iPhones en possèdent.

« L’argent n’est pas un problème pour eux. Le prix n’a aucune importance », affirme-t-il. « Quel que soit le montant, l’entreprise achète. »

Il se met sur la défensive quand je lui demande comment il s’est procuré les iPhone.

« Je ne suis pas un voleur. Je paye ces téléphones » m’indique-t-il en me montrant plusieurs appareils dev-fused. « Du moment que tu ne casses pas les couilles d’Apple ou que tu ne montres pas un prototype d’iPhone 11 ou tout autre appareil non commercialisé, ils te foutent plutôt la paix. »

Au dos des iPhone dev-fused que Motherboard a pu voir se trouvaient un autocollant de QR code, un code-barres et une étiquette « FOXCONN », le groupe industriel qui fabrique les iPhone et autres produits Apple. Hormis cela, ces téléphones ont l’air d’iPhone tout à fait normaux. Cette expérience iPhone standard s'arrête au démarrage de l’appareil. Lors de la mise en marche, un terminal de ligne de commande défile sur l'écran. Aucune jolie icône ni arrière-plan coloré typique de l’iOS n’apparaissent lors du chargement. Le téléphone redémarre le système d’exploitation, connu sous le nom de « Switchboard », sur un fond noir dépouillé et destiné à tester différentes fonctionnalités de l’iPhone. L’écran d’accueil est rempli d’icônes pour apps, avec des noms comme MMI, Reliability et Console, une application qui permet d’ouvrir un terminal de ligne de commande dans l’iPhone.

1556033656862-devfused2
Un iPhone dev-fused monté sur un rig. Image : Motherboard

Cliquer sur ces apps peut se révéler frustrant, car elles sont conçues pour être utilisées via le terminal de ligne de commande alors que l'iPhone reste connecté à un ordinateur. La plupart d’entre elles ne peuvent être fermées d'un coup de doigt, ce qui signifie que le téléphone doit être éteint et redémarré pour retrouver la page d’accueil. Les apps de Switchboard, le magasin d'applications réservé aux employés d'Apple, affichent un aspect ludique que l'entreprise ne laisse pas toujours filtrer sur iOS. L’icône pour « Reliability » représente un doge (oui, le même que le mème) jouant du synthétiseur. L’app vous permet de tester la fonctionnalité de l’appareil photo, des haut-parleurs, du micro, de la batterie et des capteurs de luminosité ambiante de l’iPhone, entre autres. Une application du nom de « Ness » affiche le personnage principal du jeu de Nintendo Earthbound. Bien que le wiki de l’iPhone indique que Ness peut être utilisé pour tester la température de l’iPhone, le téléphone s'est éteint quand j’ai essayé de lancer l’app. « Sightglass », une autre app, avait le logo d’un torréfacteur de San Francisco du même nom. Il a depuis été changé en matrice de points de couleur.

Le téléphone seul ne permet pas grand-chose. Mais une fois connecté à un Mac muni d’un câble USB Apple, appelé « Kanzi » et vendu environ 2000$ sur le marché clandestin, il permet d'utiliser d’autres logiciels internes Apple (une information largement partagée dans la communauté du jailbreaking) pour obtenir un accès root du téléphone et explorer en profondeur son logiciel et son firmware. Le câble spécial est indispensable car Apple utilise un protocole spécifique afin d’accéder à certaines données dans l’iPhone pour déboguer le noyau et d’autres composants difficiles à atteindre.

Deux personnes ont montré à Motherboard comment obtenir un accès root sur le téléphone que nous avons utilisé ; un processus somme toute banal nécessitant le login « root » et un mot de passe par défaut : « alpine ».

Cependant, tous les appareils dev-fused n’ont pas l’apparence d’un iPhone standard. Certains sont montés sur d’imposants stabilisateurs en métal qui permettent de les ouvrir comme une boîte à pizza pour inspecter les entrailles du téléphone, examiner la batterie ainsi que d’autres parties internes. L’un d’entre eux présentait des câbles externes connectant le stabilisateur à l’intérieur de l’appareil. Le stabilisateur lui-même était doté de ce qui ressemblait à des ports de connecteurs RF attachés à ces câbles, mais aussi de boutons de volume et d’alimentation externes en métal.

Lorsque j’ai commencé à chercher des iPhones dev-fused, je n’ai pas eu de mal à en trouver. Seules conditions à l'acquisition : être prêt à débourser plusieurs milliers de dollars et ne pas craindre d’agacer Apple. Outre Apple Internal Store, d’autres comptes Twitter en font ouvertement la promotion.

1556033720178-devfused3
Capture d'écran d'une publicité du Jin Store pour un prototype d'iPhone X sur Twitter.

Le propriétaire du compte Twitter Jin Store, qui vend des prototypes d’iPhone et appareils dev-fused, a partagé son catalogue avec Motherboard. Un iPhone 8 dev-fused coûte 5000$, un iPhone XR 20 000$ et un vieux modèle d'iPhone 6 coûte 1300$. (Il y a plusieurs types d’appareils dev-fused avec différents niveaux de sécurité et fonctions. Le prix d’un appareil dev-fused dépend de la sécurité et des fonctions incluses.)

Dans une conversation WeChat, Jin a indiqué qu’il connaissait personnellement Solnik mais a refusé de révéler s’il était son client.

Mr. White, le vendeur d’une autre boutique de dev-fused présente sur Twitter, nous a affirmé qu’il possédait « presque tous » les modèles d’iPhone. Il m’a aussi confié qu’il avait vendu beaucoup d’iPhone dev-fused à des chercheurs en sécurité.

« Je ne sais pas comment obtenir le SEPROM », l’autre terme technique pour le SEP, m’a dit Mr. White. « Mais je sais que les recherches le concernant nécessitent mon équipement. »

LES APPAREILS QUI ECHAPPENT À SHENZEN

Bien qu'il soit possible d’acheter des iPhones dev-fused depuis différentes sources, les réserves sont limitées. Hors Apple et l’industrie de la recherche en sécurité, ces appareils sont quasi-inconnus. Les références notables au terme dev-fused sont difficiles à trouver, même en ligne.

Dans un thread de Hacker News lancé par une enquête de Motherboard sur le programme « Bug Bounty » de l’iPhone, Will Strafach, un ancien jailbreaker d’iPhone et actuel chercheur en sécurité, écrit qu’« Apple possède des appareils dev-fused qui utilisent des certificats et clés de développement séparés. » Une mention sur le wiki officieux de l’iPhone évoque également ces prototypes d’appareils. La page affiche un grand cadre rouge avertissant les lecteurs qu’« acquérir une copie du logiciel interne d’Apple sans le consentement d’Apple est illégal et pourrait vous rendre victime d’une escroquerie. »

Le jour suivant l’exposé de Solnik, Mandt et Wang, le responsable de la sécurité d’Apple, Ivan Krstić, s’est également exprimé au Black Hat. Une ligne unique de sa présentation mentionnait les iPhones « development fused », même s’il n'a pas abordé le sujet lors de son exposé. À notre connaissance, c’est la seule fois qu'Apple a reconnu l’existence de ces téléphones publiquement. Un porte-parole de l'entreprise a refusé tout entretien à propos de ces appareils avec Motherboard.

Joint par Twitter, Krstić nous a expliqué qu’il ne pouvait pas discuter de sujets professionnels, mais a plaisanté sur le fait que je pouvais lui poser des questions à propos de son « savoir quasi-encyclopédique sur la préparation et la cuisson d’un steak. »

En dépit du fait que ce secret soit bien gardé du grand public, les chercheurs en sécurité et les hackers connaissent et utilisent ces appareils depuis des années.

« Ils sont très prisés parmi les chercheurs en sécurité » m’a expliqué un familier de la chaîne logistique d’iPhone de contrebande en Chine, qui a accepté de se confier à condition que son anonymat soit préservé pour éviter de mettre ses collaborateurs dans l’embarras. « J’ai eu de nombreuses demandes de personnes prêtes à lâcher une grosse somme d’argent pour obtenir des téléphones dev. »

« Ils sont volés à l’usine ou sur le site de développement. »

Andrew « Bunnie » Huang, un chercheur en sécurité du hardware réputé et auteur du guide ultime du marché des produits électroniques à Shenzhen, a expliqué à Motherboard qu’il avait vu certains de ces appareils en Chine. Peu de gens savent par quelle sorcellerie ces téléphones se retrouvent sur les marchés de Shenzhen depuis les usines de Foxconn, qui fabrique ces iPhones. Mais une chose est sûre : ils y arrivent.

« Ils sont volés à l’usine ou sur le site de développement » a confié un revendeur de ces appareils à Motherboard, sur Twitter.

Huang rapporte que, parfois, les revendeurs de ces appareils dev-fused de Shenzhen n’ont aucune idée de la valeur de ces produits pour les hackers et les chercheurs en sécurité.

« 50% du temps, les types du marché clandestin n’ont aucune idée de ce qu’ils revendent » a expliqué Huang. « Ils vendent de la camelote pour se faire un peu d’argent. »

« Cette nouvelle surface d’attaque n’est pas aussi lourdement fortifiée. » a ajouté Huang. « Pour parler métaphoriquement, ils ne posent pas de verrou sur la porte avant que les murs de la maison soient construits. »

1556033791691-devfused4
Un iPhone dev-fused appartenant à Giulio Zompetti. Image : Giulio Zompetti

Pour être plus technique, et contrairement aux iPhone que vous pouvez acheter dans une boutique Apple, appelés « prod » ou « production fused », ces appareils permettent à leurs propriétaires de démarrer dans Switchboard. Ce logiciel laisse les chercheurs pirater et pratiquer une rétro-ingénierie des différents composants d'iOS. Une pratique habituellement hors-limites sans vulnérabilités complexes et un jailbreak, qui pèse des millions de dollars sur le marché zero-day actuel.

« Prod fused signifie qu’il y a une broche spécifique qui est "éclatée" en phase de production. La carte-mère du téléphone vérifie cette broche afin de confirmer si l’appareil est prod ou non » a expliqué un ancien employé d’Apple, souhaitant rester anonyme car il est lié à une clause de confidentialité, à Motherboard. « Si non, et que le firmware est une version dev, alors certaines fonctions sont activées. »

Avec un câble spécifique à Apple et avec des compétences adéquates, ces appareils sont le terrain de jeu parfait pour les hackers d’iPhones.

En 2017, Motherboard avait signalé que les meilleurs hackers au monde ne souhaitaient pas communiquer les bugs à Apple, même après que l’entreprise ait promis une récompense de centaines de milliers de dollars. Une des doléances des chercheurs était qu’il était extrêmement difficile de trouver des bugs sans déjà connaître d’autres bugs. En d’autres termes, les chercheurs en sécurité ont besoin des bugs iOS — ceux qui leur permettent de débrider l’appareil et de désactiver les fonctions de sécurité — pour conduire leurs recherches. Si les chercheurs indépendants rapportaient les bugs à Apple, la multinationale les réparerait et les empêcherait donc de trouver d’autres bugs.

À l’époque, certains des chercheurs avaient déclaré que la meilleure solution serait qu’Apple leur fournisse des « appareils de développeurs ».

Il s’avère que certains en possédaient déjà.

« C’est une poule aux œufs d’or pour un jailbreaker » explique Panaetius, qui admet avoir acheté et revendu plusieurs appareils dev-fused. « C’est un appareil dont vous pouvez virer tous les mécanismes de sécurité. Les appareils dev-fused comportent encore des mécanismes de sécurité, mais vous pouvez vous en débarrasser. »

Les hackers d'iPhone sont cependant réticents à admettre qu’ils utilisent ces téléphones. Quelques-uns m’ont expliqué qu’ils considéraient que les utiliser était de la « triche » et d’autres jurent qu’ils ne les ont jamais utilisés car leur communauté les jugerait négativement si c’était le cas.

« Beaucoup s’en méfient. En partie parce qu’ils ne veulent pas avoir affaire avec les juristes à la réputation impitoyable d’Apple » rapporte un chercheur en sécurité et acteur de la communauté jailbreak sous couvert d'anonymat.

D’autres sont moins regardants.

LES COLLECTIONNEURS

Giulio Zompetti, qui se présente comme un collectionneur de prototypes d’iPhone, m’explique qu’il possède quatorze iPhone dev-fused, ainsi que quelques iPods et iPads. Il me les a montré slors de notre appel vidéo.

Il m’a affirmé manipuler ces appareils dev-fused sans les pirater : il les collectionne simplement.

« Je les considère comme un investissement. Plus le modèle est ancien, plus il est difficile de mettre la main dessus » a-t-il expliqué au cours d’une discussion téléphonique. « Ce qui m’éclate, c’est de chercher un produit rare à trouver. »

« Le but pour moi est de reconstruire l’histoire », affirme Zompetti en me présentant certaines de ses pièces, comme un iPhone 5S daté de seulement quelques mois après la sortie officielle du modèle précédent, l’iPhone 5.

Un autre collectionneur, qui m’a montré des photos de ses appareils, m’a avoué qu’il en possédait tellement qu’il ne pouvait plus les compter.

1556033850050-devfused5
Mathew Solnik prend la pose pendant une démonstration de hacking lors du tourange du documentaire de Motherboard Phreaked Out en 2014. Image : Motherboard

Apple est au courant de la circulation de ces appareils dev-fused, témoignent cinq sources internes et externes à l’entreprise. Plusieurs sources au sein d’Apple et de la communauté jailbreak estiment qu’Apple a redoublé d’efforts pour que ces appareils ne soient pas subtilisés à Foxconn, mais aussi pour poursuivre ceux qui les revendent. Apple sait pertinemment que les chercheurs convoitent ces appareils — certains ont même fait du coude à la multinationale publiquement. En 2016, Solnik a fait allusion à sa percée majeure sur Twitter quelques semaines avant son exposé au Black Hat.

« Qui veut voir une équipe de sécurité sauter de joie ? » a-t-il tweeté, avec une capture d’écran d’une fenêtre de terminal qui montrait que Solnik avait réussi à obtenir le firmware Secure Enclave Processor. « Je laisse ça là... »

La façon dont Solnik, Wand et Mandt ont déchiffré et disséqué le firmware n’a jamais été discutée publiquement. Cependant, leur exposé a suffi à attirer l’attention d’Apple et à stimuler les carrières et la réputation des intervenants dans la communauté de la recherche en sécurité de l’iPhone.

Mandt est resté chez Azimuth, tandis que Wang a rejoint Corellium. En revanche, Solnik reste une énigme. À l’époque de l’exposé sur le SEP, il était à la tête de sa propre startup, OffCell, qui devait devenir un prestataire indépendant fournissant des outils de sécurité offensifs et des exploits aux gouvernements, selon plusieurs sources proches de Solnik.

Néanmoins, en 2017, Solnik a été embauché par Apple pour intégrer son équipe de sécurité, spécifiquement la « red team », qui inspecte et pirate les produits de l’entreprise. Son exposé à Black Hat avait apparemment eu un fort impact au siège d’Apple, à Cupertino. Pourtant, selon plusieurs sources, quelques semaines plus tard, il a soudainement quitté l’entreprise.

L’histoire officielle du bref passage de Solnik chez Apple est un secret très bien gardé. Motherboard s’est entretenu avec des dizaines de personnes, mais n’a pas pu établir les détails du départ de Solnik. Une source interne à Apple m’a expliqué que les informations concernant Solnik étaient « incroyablement limitées », et une autre m’a confirmé que même au sein d’Apple, seules quelques personnes connaissaient la vérité.

Apple a refusé à plusieurs reprises de commenter ou de répondre aux questions à propos de Solnik, mais n’a pas réfuté le fait que Solnik avait été autrefois employé.

En tout cas, le marché noir des iPhones dev-fused est en pleine expansion. Apple ne semble pas pour le moment pouvoir ralentir la cadence, malgré le fait que ces fuites alimentent l'industrie sans cesse croissante du piratage d’iPhone.

« Honnêtement, tout le monde profite de la gestion pitoyable de la chaîne logistique d’Apple » a expliqué Viktor Oreshkin, un chercheur en sécurité iOS, à Motherboard, sur un chat en ligne. « Sauf Apple, bien évidemment. »

Motherboard est aussi sur Facebook, Twitter et Flipboard.