Le programme de chasse aux bugs d'Apple fait un flop

Mickaël Bazoge |

L’été dernier, Apple lançait un programme de chasse aux failles et aux bugs (bug bounty) pour iOS et macOS ouvert à une poignée de bidouilleurs triés sur le volet, le tout assorti de récompenses sonnantes et trébuchantes pour les trouvailles. Pratiquement un an plus tard, Motherboard fait le point sur cette initiative qui, pour le moment, est loin de remplir ses objectifs.

Sur iOS, les failles sont plus dures à dénicher qu’ailleurs, Apple ayant serré la vis à la sécurité du système depuis ses tout débuts. Ce qui est rare étant cher, les chasseurs de failles sans scrupules préfèrent vendre leurs découvertes à des sociétés qui paient mieux qu’Apple. Les primes reversées par le constructeur peuvent paraître très élevées aux yeux des profanes, mais dans les faits d’autres entreprises paient beaucoup mieux.

Les primes offertes par Apple.

La tentation est grande d’aller voir ailleurs, là où l’herbe est plus verte. Zerodium est ainsi prêt à débourser jusqu’à 1,5 million de dollars pour une méthode permettant de jailbreaker l’iPhone. Chez Exodus Intelligence, les chèques peuvent aller jusqu’à 500 000 $ pour une faille dans iOS. Ces entreprises revendent ensuite ces trouvailles à des sociétés pour « protéger leurs réseaux » ou encore à des agences de renseignement.

Le spécialiste en sécurité Jonathan Zdziarski, qui a rejoint Apple, avait posté ce sondage sur Twitter avant de supprimer son compte.

« Si vous faites cela uniquement pour l’argent, vous ne donnerez pas vos bugs à Apple directement », se désole Nikias Bassen, un chercheur en sécurité pour Zimperium, qui a été admis dans le programme de la Pomme l’an dernier. Les failles de l’iPhone ont « trop de valeur pour les donner à Apple », regrette Patrick Wardle, un ancien hacker de la NSA lui aussi enrôlé dans le bug bounty du constructeur.

La dizaine de chasseurs de vulnérabilités contactés par le site sont formels : aucun d’entre eux n’a rapporté de bug à Apple. Pourtant, la Pomme a été aux petits soins avec son équipe de chercheurs ; en septembre dernier, une réunion a été organisée à Cupertino pour faire connaissance, Craig Federighi ayant même passé une tête.

Mais en bout de course, tout revient à l’argent. iOS est un système complexe et fermé, à tel point que même les 200 000 $ ne couvrent pas nécessairement les frais d’investigation. D’ailleurs, pour trouver de nouvelles failles, il faut souvent en passer par… d’autres failles qu’Apple n’a pas bouchées, ce qui ajoute encore à la complexité de l’exercice. C’est pourquoi certains préfèrent conserver leurs découvertes, ce qui leur permet de poursuivre la chasse aux bugs. « Si je [donne] mes propres bugs, je ne serais plus capable de faire mes recherches », explique Luca Todesco, un jailbreaker bien connu.

Durant la réunion de septembre dernier, les chasseurs avaient demandé à Apple des iPhone exempts de certaines mesures de sécurité, l’objectif étant de faciliter leur travail. Mais le constructeur n’a pas voulu fournir ces appareils, ce qui n’arrange pas l’attractivité du programme de bugs.

avatar reborn | 

200k vs 1.5 million , je les comprend

avatar Rodri31 | 

Mais en fait iOS est sécurisé depuis le début ou vraiment depuis iOS 7 ??

avatar shaba | 

@Rodri31

Un bon indice pour répondre à cette question est la durée entre le lancement d'une version d'iOS et la mise à disposition du jailbreak correspondant. Elle s'est considérablement allongée au fur et à mesure qu'Apple renforçait la sécurité.

avatar C1rc3@0rc | 

C'est loin d'etre le seul facteur, le premier etant la perte d'interet du jailbreak, Apple ayant fini par inclure les fonctions voulues par les utilisateurs ou présentes en jailbreak ou sur Adroid.

Jailbreaker demande aussi une volonté et du temps, ce que l'utilisateur d'iPhone semble vouloir de moins en moins.

Et puis il y a l'aspect financier, le jailbreak n'est pas rentable sauf en terme de popularité.
Il y a aussi l'embauche / creation d'entreprise des "celebrités" du jailbreak qui ne participent plus a la "competition" et l'arrivée massive des equipes chinoises qui semblent beneficier "d'atouts" auxquels n'ont pas accés les autres, l'interet de passer son temps a chercher des failles pour realiser un jailbreak est devenu

Bref si l'iPhone de 2016 est plus securisé que celui de 2007, l'interet de jailbreaker un iPhone en 2017 n'a plus rien a voir avec ce qu'il se passait il y a 10 ans.

avatar marc_os | 

Ah que c'est beau le capitalisme. .:-(

avatar xDave | 

@marc_os

capitalisme ou cupidité?

avatar vrts | 

je parie que si je te propose un salaire x10 pour le même travail tu changeras de boite sans reflechir plus de 5 sec... arretez de jouer les bonne soeurs...

avatar Malum | 

Ne prenez pas votre cas pour des généralités ni votre appât personnel du gain comme le moteur absolu des décisions des autres. Si le monde n'était fait que de personnes comme vous, il n'y aurait aucune ONG, aucun cadre supérieur qui quittent leur boulot très rémunérateur pour faire du fromage de chèvre, ni ce grand chirurgien, enseignant à la fac qui a tout laisser tomber pour devenir couvreur.

Grâce à Dieu, ou plutôt aux hommes de bonne volonté, il reste de nombreuses personnes qui sont mues plus par l'intérêt de ce qu'il font ou par l'humanisme, la passion que par la cupidité brute.

Et cessez surtout d'utiliser cet argument des cupides qui dit que les autres feraient comme vous.

avatar debione | 

Pas grand chose à voir avec ce que tu décris... Ici on ne parle pas de changer de travail ou que sais je... prenons n'importe qui pour un travail absolument équivalent, ( genre travailler dans l'hôpital x à Paris ou pour l'hôpital y dans le même Paris, même poste même responsabilité), quel médecin choisira de se faire payer 5 fois moins? Pas un... Tu peux faire la même avec les mécanos auto, travailler sur des Renault dans le garage d'à côté pour 5 x moins de salaire? Personne.
Après oui tout le monde n'est pas attiré en premier lieu par l'argent, je peux t'en parler personnelemnt?, mais à condition exactement pareilles , je prends le métier le mieux payé, ce d'autant plus que si la boite qui m'emploie est la boite la plus riche du monde... Parce que bien gérée certes, mais aussi parce que la plus pingre.

avatar Abd Salam | 

@xDave

L'un ne va pas sans l'autre... et réciproquement.

avatar JadEstuaire | 

Ça leur semble toujours très difficile d'admettre que.... après le discours pendant des années sous-entendu "pas de risques chez Apple, ça n'est pas windows"?

avatar ovea | 

Utiliser le mot de passe root d'iOS devrait suffire … heuuu !

avatar debione | 

Apple pris à son propre jeu... Ben oui, les hackers sont autant avide de pognon que ne l'est Apple...
Pour l'entreprise la plus riche du monde, elle se montre particulièrement pingre dans ces récompenses... Après pour un même travail être payé 5 fois plus, même dans les autres domaine, je connais personne qui travaillerait pour ce prix la...

avatar harisson | 

Logique, soit on fournit le hardware et on paye moins, soit on paye plus.

avatar Moonwalker | 

Ces entreprises revendent ensuite ces trouvailles à des sociétés pour « protéger leurs réseaux »

Je l'aime bien celle-ci. :-D

avatar ovea | 

Mais les bonnes sœurs sont ceux partis aux USA faire 6xSalaire et qui reviennent faire la morale sur des valeurs dépassées.

avatar JadEstuaire | 

@ovea

Utiliser le terme "morale" pour des multinationales obnubilés par les gains, c'est incongru ?

avatar r e m y | 

@JadEstuaire

Je pense qu'ovea a fait une faute de frappe; il voulait certainement écrire "...ils reviennent faire l'amoral...."

avatar Malum | 

1- obnubilés qui vient d'un mot latin voulant dire nuage, ne veut pas dire obsédés mais obscurcis
2- les entreprises ne sont pas que des machines à cash pour actionnaires, elles ont aussi des projets, des idées, des envies et même si cela vous fait pisser dans votre froc, des rêves. La course à l'argent ne peut en aucun cas mener à long terme à la réussite s'il n'y a derrière de la recherche, de l'innovation, de la qualité etc.

avatar JadEstuaire | 

@Malum
Apple serait donc l'exception parmi les multinationales ? avec une morale et une éthique irréprochable et on n'en doute pas ??

avatar Bigdidou | 

@Malum

« les entreprises ne sont pas que des machines à cash pour actionnaires, »

Ben c’est d’abord ça.
Le reste vient après.

avatar Malum | 

Non ça c'est votre vue idéologique et dogmatique de l'entreprise. Mais on ne discute jamais avec un dogmatique car sa vue du monde est sectaire, déformée, idéologique, imperméable à la contradiction et fait de lui un être qui se croit sans failles et supérieur. Je ne développerai donc aucun argument qui sera de toute façon inutile et non compris.

avatar ovea | 

On peut penser ce qu'on veux des expats sur le retour, il on l'avantage de la double pensée.

La double pensée, en nove langue est le pouvoir de garder à l'esprit deux croyances contradictoires.

À l'attention de ceux qui reste en direct :

Langue de signaux VS éradiquer la pensée

Comme un relent du jeux Street fighter, où les deux joueurs sont dans la même équipe.

avatar Ginger bread | 

Du point de vue d'Apple s'ils devaient s aligner face aux fournisseurs de la NSA/CIA (e.g Zeromachin,...) ces entreprises augmenteraient leur recompense et ce serait la course à l'escalade.
Maintenant à Apple à apprendre de ces erreurs et à sévir dans la recherche de failles et surtout à limiter la negligence dans le developpement d ios.
On se plaint bcp de Microsoft mais eux communiquent et deploient des corrections chaque mois.
Avec Apple on doit attendre et on ne sait rien, pas vraiment rassurant.

avatar debione | 

Certaines failles sont restées ouvertes des années chez Apple... c'est dire le serieux sur ce point ( ils comptent plus sur le fait d'avoir le moins de faille possible d'entrée).

avatar thierry37 | 

Est ce que Apple est derrière une de ces autres sociétés qui paient mieux ?

CONNEXION UTILISATEUR