iOS est-il vraiment un système d’exploitation sûr ? La révélation, il y a quelques jours, d’une « chaine » d’exploits permettant d’infecter des iPhone simplement en les conduisant à visiter un site web, a jeté le trouble sur la sécurité d’iOS, qui a déjà été remise en question à de nombreuses reprises. Il semble que les spécialistes du domaine partagent cette analyse : Vice s’est ainsi aperçu que sur le marché des exploits, où les découvreurs de failles vendent leur trouvaille à de grosses sociétés, gouvernementales ou privées, les failles concernant iOS voyaient leur valeur décroitre. Pire, pour certaines elles se vendaient même moins cher que sur Android, dont la sécurité est moquée depuis des lustres.

Trop d’exploits ? Oui mais

Chez Zerodium, par exemple, un exploit permettant « la prise de contrôle totale » d’un smartphone Android sans requérir d’action de la victime vaut 2,5 millions de dollars, quand on ne récolte que deux petits millions pour un tel sésame sur iOS. « Le marché du 0-day est inondé d’exploits iOS, principalement concernant Safari et iMessage. L’une des raisons en est qu’un grand nombre de chercheurs en sécurité se sont tournés vers l’exploitation iOS à temps plein. Ils ont absolument détruit la sécurité et les mesures de limitation d’iOS. Il y a tellement d’exploits iOS que nous commençons à en refuser certains », explique Chaouki Bekrar, le fondateur de Zerodium.

Trop d’exploits, car trop de chercheurs qui se penchent sur la question, en somme. À l’inverse, sur Android, il est très coûteux de chercher de nouveaux exploits, estime-t-il encore.

Chez le collègue d’en face, Crowdfense, qui vend essentiellement à des gouvernements, on partage l’analyse d’une baisse de valeur des exploits iOS mais on l’attribue à un autre paramètre : à la différence d’Android, dont le parc d’installation est très fragmenté entre les différentes versions du système, celui d’iOS affiche des taux de mise à jour supérieur à 80 %. En clair, 8 personnes sur 10 au moins utilisent la dernière version d’iOS. Il est dès lors plus simple de concentrer ses efforts sur celle-ci, sans avoir à se creuser les méninges sur la version installée sur le smartphone Android des victimes. « Android est si fragmenté qu’une chaine universelle d’exploits est quasiment impossible à trouver », explique Andrea Zapparoli Manzoni, directeur de Crowdfense.

AUCUN COMMENTAIRE

À vous la parole !

Fermer
*
*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.