Noah Roskin-Frazee, un chercheur en sécurité travaillant au sein de l’entreprise ZeroClicks Lab, implantée à San Francisco, a autrefois collaboré avec Apple pour repérer des failles dans ses logiciels. N’ayant pas pu résister à l’appât du gain, il a tiré profit d’une brèche dans le système Toolbox de la firme de Cupertino. Au lieu de signaler la défaillance, il a préféré détourner environ 2,5 millions de dollars. Récemment arrêté, il a été remercié par le fabricant d’iPhone pour avoir décelé cette faille.
Un piratage du système de gestion de commandes
Avec la complicité d’un autre expert en cybersécurité, Noah Roskin-Frazee aurait eu recours à un outil de réinitialisation de mot de passe pour entrer dans le compte d’un employé d’une entreprise tierce chargée des services de support client pour Apple.
Les données dérobées lui ont permis d’accéder aux serveurs VPN de l’entreprise, ainsi qu’à ceux de la firme à la pomme. Une fois infiltré, le pirate informatique a exploité le programme Toolbox pour modifier les achats à sa guise.
D’après les archives judiciaires révélées par le site 404media, il aurait passé des commandes frauduleuses entre janvier et mars 2019. En modifiant les sommes dues à zéro et en ajoutant gratuitement des produits supplémentaires (iPhone, ordinateurs Mac et cartes-cadeaux électroniques), il a pu obtenir des biens sans rien payer.
Grâce à cette technique, il a empoché illégalement 2,5 millions de dollars après la revente. Accusé de nombreuses fraudes, il risque une peine de plus de 20 ans de prison si sa culpabilité est reconnue.
Des failles identifiées dans ses produits
Deux semaines après que Noah Roskin-Frazee a été arrêté pour avoir prétendument escroqué la firme de Cupertino, un rebondissement inattendu n’a pas manqué de soulever de nombreuses questions.
En effet, l’entreprise plaignante a remercié publiquement l’accusé pour avoir identifié plusieurs bugs dans le système d’exploitation informatique macOS Sonoma 14.2.
Le 22 janvier dernier, son nom a été mentionné dans un document de mise à jour de sécurité d’Apple. Sur la page de la firme, Noah Roskin-Frazee et le Professeur J. (ZeroClicks.ai Lab) ont été félicités pour leur contribution à la découverte d’une vulnérabilité liée au Wi-Fi.
