Charlie Miller (security researcher)

Jeunesse et formation

Charles Alfred Miller a obtenu une licence de mathématiques avec une mineure en philosophie à ce qui s'appelait alors la Northeast Missouri State University, suivie d'un doctorat en mathématiques à l'University of Notre Dame en 2000. Il réside à Wildwood, dans le Missouri.

Carrière

Après son doctorat, Miller a passé cinq ans comme analyste à la National Security Agency. Il a ensuite rejoint Independent Security Evaluators (ISE), un cabinet de conseil en protection informatique, où il occupait en 2007 le poste de lead analyst. Il a par la suite travaillé chez Uber avant d'occuper son poste actuel chez Cruise Automation.

Recherches en sécurité

Miller s'est forgé une réputation en démontrant publiquement des vulnérabilités de sécurité significatives, en particulier dans les produits Apple. En 2007, il a présenté le premier exploit iPhone connu, révélant une vulnérabilité du navigateur mobile Safari susceptible de permettre à un attaquant de prendre le contrôle total de l'appareil.

À la conférence de hackers Pwn2Own à Vancouver, en Colombie-Britannique, Miller a remporté en 2008 une récompense de 10 000 dollars pour avoir été le premier chercheur à identifier un bug critique dans le MacBook Air. En 2009, il est revenu à Pwn2Own et a remporté 5 000 dollars pour avoir cassé le navigateur Safari d'Apple.

Toujours en 2009, Miller et le chercheur Collin Mulliner ont démontré une vulnérabilité de traitement des SMS capable de permettre la compromission complète de l'iPhone d'Apple, ainsi que des attaques par déni de service contre d'autres téléphones.

En 2011, Miller a découvert une faille dans iOS qui permettait à une application de contacter un serveur distant et de télécharger un logiciel non approuvé capable d'exécuter des commandes arbitraires, pouvant potentiellement permettre le vol de données personnelles. À titre de preuve de concept, il a développé une application baptisée Instastock, qui a franchi le processus de validation de l'App Store d'Apple. Après avoir notifié Apple de la vulnérabilité, il a été exclu du programme de développeurs de l'App Store.

Miller a également participé à des recherches sur les vulnérabilités de sécurité de la technologie NFC (Near Field Communication).

Android et premier exploit Android

Avec ses collègues Mark Daniel et Jake Honoroff chez ISE, Miller a identifié et exploité une vulnérabilité de sécurité du système d'exploitation Android. L'équipe a déterminé que la vulnérabilité provenait de l'usage par Google d'une version obsolète et vulnérable de la bibliothèque WebKit au sein d'Android. L'exploit a été développé à l'aide du SDK et de l'émulateur Android.

Sécurité automobile

Miller, en collaboration avec le chercheur Chris Valasek, a mené des recherches marquantes sur la sécurité des véhicules connectés. Les deux hommes sont largement reconnus pour avoir piraté à distance une Jeep Cherokee de 2014, démontrant la capacité à contrôler le freinage, la direction et l'accélération du véhicule depuis un emplacement distant. Ces recherches ont attiré une attention significative sur les risques de cybersécurité présents dans les automobiles modernes.

Publications

Miller a contribué à plusieurs publications de sécurité notables, dont The Mac Hacker's Handbook, l'iOS Hacker's Handbook, Fuzzing for Software Security Testing and Quality Assurance, ainsi qu'un ouvrage sur le piratage de firmware de batteries examinant les internes des systèmes de batteries intelligentes.