Les vulnérabilités de l’iPhone valent trop cher pour les signaler à Apple

L'article original a été publié sur Motherboard.

En août 2016, le chef de la sécurité informatique d'Apple, Ivan Krstic, a volé la vedette à l'une des plus importantes conférences sur la sécurité informatique au monde avec une annonce inattendue.

« Je veux vous donner quelques nouvelles », a-t-il lancé à la conférence Black Hat avant d'annoncer qu'Apple lançait finalement un programme de récompenses pour les gentils hackeurs qui rapportent des failles à la compagnie. Les applaudissements enthousiastes ont retenti.

Près d'un an plus tard, le programme semble battre de l'aile. Rien ne montre que les hackeurs ont signalé ne serait-ce qu'une faille.

La sécurité de l'iPhone est si étanche qu'il est difficile d'y trouver des failles, ce qui fait grimper au plafond leur valeur dans le marché gris. Les chercheurs à qui j'ai parlé rechignent à rapporter les failles pour deux raisons : elles ont une valeur qui dépasse celle des récompenses et ils pourraient se contraindre eux-mêmes à cesser leurs recherches s'ils les rapportent.

« On peut obtenir plus d'argent si on vend les failles à d'autres », dit Nikias Bassen, un expert en sécurité de l'entreprise Zimperium qui s'est incrit au programme d'Apple l'an dernier. « Si c'est pour l'agent que quelqu'un le fait, il ne va pas les signaler directement à Apple. »

Patrick Wardle est du même avis. Cet ancien hackeur de la National Security Agency (NSA) aux États-Unis se spécialise aujourd'hui dans la recherche sur MacOS, le système d'exploitation des Mac. Il a été invité à participer au programme de récompenses, mais il dit que les failles d'iOS, le système d'exploitation des iPhone, « ont trop de valeur pour qu'on les signale à Apple ».

J'ai aussi parlé à huit chasseurs de prime inscrits au programme après leur avoir assuré que leur anonymat serait protégé, ce qu'ils ont exigé en échange des renseignements confidentiels sur le programme qu'ils me donneraient. Tous m'ont assuré qu'ils n'avaient pas encore signalé la moindre faille à Apple et aucun ne connaît quelqu'un qui l'a fait. Apple a refusé de commenter.

En septembre 2016, Apple a payé un billet d'avion vers Cupertino, siège de l'entreprise, à Patrick Wardle, au spécialiste du déblocage d'iPhone Luca Todesco et à un petit groupe de hackeurs white hat triés sur le volet.

Durant leur séjour, Apple leur a proposé de participer à son programme de récompenses. Les spécialistes en sécurité d'Apple leur ont fait des présentations, les ont emmenés souper au restaurant et les ont invités à parler de leur travail. Même Craig Federighi, le vice-président principal du développement logiciel, les a surpris en venant leur souhaiter la bienvenue, selon deux sources présentes.

C'était un grand changement. Les experts en sécurité informatique se plaignaient depuis longtemps qu'Apple, de tous les géants de l'informatique, était le seul sans programme de récompenses. Microsoft, Google, Facebook et d'innombrables entreprises de moindre taille proposaient des récompenses depuis des années et ont donné des primes considérables à des hackeurs indépendants qui ont choisi de signaler les vulnérabilités plutôt que de les exploiter.

« Apple n'aime pas présenter des choses, même un programme de récompenses, avant qu'elles soient parfaites. Ce sont des perfectionnistes », m'a dit un ex-spécialiste de la sécurité d'Apple, qui m'a aussi demandé de ne pas révéler son identité en raison d'un accord de confidentialité.

L'an dernier, pendant des mois, Apple a refusé d'accéder aux demandes du FBI, qui voulait déverrouiller l'iPhone du tireur de San Bernardino – l'homme avait abattu 14 personnes et en avait blessé 22 en décembre 2015. Le FBI est finalement parvenu à accéder au contenu du téléphone sans l'aide d'Apple. L'agence a plutôt donné une somme importante à des experts indépendants et anonymes en échange d'une méthode de déverrouillage. Comme le soutenait à l'époque le New York Times, peut-être que la raison pour laquelle les hackeurs ont pu vendre cette vulnérabilité au FBI, c'est que rien ne les avait motivés à la signaler à Apple au préalable.

Bien que l'annonce du programme ait été publique, presque tout le reste s'est depuis fait dans le secret, ce qui est typique d'Apple. Pour l'instant, le programme n'est accessible que sur invitation. Les experts invités peuvent recevoir des récompenses de 25 000 $ à 200 000 $ pour des failles dans iOS ou MacOS, avait annoncé Ivan Krstic.

Ça peut sembler beaucoup. Mais l'une des raisons pour lesquelles chercheurs auxquels nous avons parlé ne se pressent pas pour signaler les failles à Apple, c'est que les récompenses ne sont pas aussi élevées qu'elles pourraient ou devraient l'être. Sur le marché gris, où des entreprises comme Zerodium payent pour ces failles et les revendent à leurs clients, une méthode composée de plusieurs failles permettant de déverrouiller un iPhone vaut 1,5 million de dollars. Une autre entreprise, Exodus Intelligence, offre 500 000 $ pour des failles semblables. Ces entreprises disent ne vendre ces failles de sécurité qu'à des sociétés afin de les aider à protéger leurs réseaux ou aux autorités et agences du renseignement pour les aider à obtenir du matériel de grande valeur.

Il est possible que des hackeurs aient profité du programme d'Apple et aient choisi de ne pas le révéler publiquement, même si le programme d'Apple ne leur interdit pas de parler des failles qu'ils ont découvertes. En vertu de l'accord, que l'un des chercheurs m'a montré, le chercheur doit simplement attendre que la vulnérabilité soit corrigée et dire à Apple ce dont il veut parler publiquement avant de le faire. Normalement, les chercheurs sont ravis de bénéficier de reconnaissance publique pour leurs découvertes, à la fois pour s'en vanter et parce que ça paraît bien sur leur C.V. : ils ont réussi à trouver une faille dans l'un des logiciels les plus sécurisés au monde.

« Apple doit rivaliser avec la vraie valeur de la faille qu'elle veut acheter », m'a dit Dan Guido, PDG de l'entreprise de recherche en cybersécurité Trail of Bits. « Elle essaie de payer 200 000 $ pour des choses qui peuvent lui être fatales, mais elles valent bien plus que ça. »

Lui-même a effectué des recherches sur la sécurité d'iOS dans le passé. Il explique que les systèmes d'Apple sont si sécurisés que les chances de trouver une faille valant 200 000 $ sont infimes, même si on y passe des semaines ou des mois. Beaucoup ne s'essaient donc pas, question d'éviter de gaspiller du temps en échange de rien.

Mais il y a plus que la hauteur de la récompense. iOS est un système d'exploitation si complexe, fermé et sécurisé que, seulement pour l'examiner, on a besoin au préalable de plusieurs vulnérabilités zero day, et peut-être même d'un déblocage complet, selon les experts interrogés. En d'autres mots, on a besoin de failles pour trouver des failles.

C'est une autre raison pour laquelle certains préfèrent garder leurs failles : autrement, ils se mettent des bâtons dans les roues.

« Personne ne bousille de failles à moins d'être stupide », m'a dit Luca Todesco, le célèbre débloqueur d'iPhone. « C'est leur propre avenir qu'ils bousillent. Si je signale mes failles, je ne pourrai plus faire mes recherches. »

« Soit on signale une faille et elle est corrigée, soit on décide de ne pas la signaler pour éviter de se compliquer la vie et poursuivre la recherche », m'a dit un autre chercheur invité à participer au programme de récompenses d'Apple. « Il est aussi possible de se tourner vers une compagnie indépendante qui achète les failles. Comme ça, on ne gaspille pas deux ou trois failles pour une récompense de seulement 50 000 $. »

Pendant leur visite de Cupertino, les chercheurs ont demandé des iPhone spéciaux sans restrictions. Sur ces appareils, certaines caractéristiques de sécurité, comme le bac à sable (sandbox), seraient désactivées pour leur permettre d'effectuer plus facilement leurs recherches. L'un deux les a appelés des « appareils pour développeurs ».

Pour l'instant, d'après les experts qui m'ont rapporté cet entretien, Apple a refusé. D'ici à ce que la compagnie change d'idée ou qu'elle invite plus de hackeurs à participer à son programme, elle aura du mal à attirer l'attention des meilleurs hackeurs d'iPhone white hat indépendants.

« Apple a fait un nouvel essai en offrant d'énormes primes en échange d'une attaque complète, mais ils ne comprennent pas bien le marché des primes ou ne savent pas comment motiver les gens à les aider », dit Dan Guido.
D'un autre côté, l'absence de signalement devrait aussi être considérée comme un gage de la sécurité de l'iPhone. Mais aussi comme un signe que des changements doivent être apportés au programme, selon lui.

« Apple envoie le message que « hey, ce programme ne s'adresse qu'à certaines personnes », mais en réalité ils veulent intéresser tout le monde, poursuit-il. Ils doivent faire ce qu'ils font très mal : s'ouvrir un peu. »