Cybersécurité: Un expert vole 2,5 millions de dollars à Apple, qui le remercie

La tentation était apparemment trop grande pour Noah Roskin-Frazee de ZeroClicks Lab. Ce chercheur en sécurité basé à San Francisco, qui a aidé à plusieurs reprises Apple à identifier des failles dans ses logiciels, a fini par exploiter une vulnérabilité repérée dans le système de la firme de Cupertino connu sous le nom de Toolbox. Ce dernier permet à l'entreprise de mettre des commandes en attente et de les modifier. Au lieu de signaler le problème au géant technologique, l'expert en a profité pour dérober l'équivalent de 2,5 millions de dollars en cartes-cadeaux et produits Apple, dont des iPhone et des ordinateurs Mac.

À l'aide d'un autre chercheur, il aurait utilisé un outil de réinitialisation de mot de passe pour accéder au compte d'un employé d'une société tierce gérant des services d'assistance à la clientèle pour Apple. Cette première étape a servi de porte d'entrée pour mener son attaque dite «par escalade de privilèges», rapporte le site 404Media. Entre janvier et mars 2019, il aurait ainsi passé des commandes sous de faux noms, puis utilisé Toolbox pour modifier les sommes à payer en les ramenant à 0 dollar, ainsi que pour ajouter des produits supplémentaires sans frais supplémentaires, d'après l'acte d'accusation des procureurs. Inculpé d'une série de fraudes, il pourrait être condamné à plus de 20 ans de prison s'il est reconnu coupable.

De manière surprenante, deux semaines après l'arrestation de l'expert en cybersécurité, son nom est apparu le 22 janvier dernier dans un document d'assistance d'Apple. La firme a exprimé publiquement sa gratitude envers lui pour avoir trouvé plusieurs bugs dans le système d'exploitation informatique macOS Sonoma 14.2. «Nous aimerions remercier Noah Roskin-Frazee et le professeur J. (ZeroClicks.ai Lab) pour leur aide», peut-on lire sur la page d'Apple en référence à une vulnérabilité concernant le Wi-Fi. Un timing quelque peu mauvais...