Un (mauvais) retour d'expérience sur le programme de primes de sécurité d'Apple

Florian Innocente |

Depuis 2016, Apple offre des primes de sécurité aux développeurs, chercheurs ou hackers qui découvrent d'importantes failles de sécurité dans ses logiciels. Des sommes qui vont de 25 000 dollars à 1 million, en fonction de la nature et de la gravité du bug révélé.

Un programme auquel a participé Nicolas Brunner mais qui l'a laissé amer sur son fonctionnement et sur la manière dont Apple a traité sa découverte. Développeur aux Chemins de fer fédéraux suisse, il est tombé par hasard sur un bug lié à la géolocalisation, présent dans iOS 13 et qu'Apple a confirmé et corrigé dans iOS 14.

C'est en mars 2020, raconte Brunner, qu'en travaillant sur un développement impliquant un suivi de géolocalisation par des beacons, il remarque un comportement anormal d'iOS. Son app de test peut continuer de récupérer la position de l'iPhone alors que l'utilisateur l'a expressément interdit lorsqu'elle est en arrière-plan.

Le 2 mars, il contacte l'équipe de sécurité d'Apple en fournissant tous les éléments pour reproduire ce dysfonctionnement. Le 10 mars il reçoit une réponse le prévenant que ce problème est à l'étude. Ce n'est que 6 mois plus tard, les 8 et 19 septembre, qu'il est informé que la faille est normalement bouchée dans une bêta du futur iOS 14 — on lui demande de le vérifier — et qu'il sera crédité pour sa trouvaille dans la page des mises à jour de sécurité.

Sa contribution reconnue, Brunner en profite pour demander à bénéficier d'une récompense de l'Apple Security Bounty. Une requête légitime puisque que le problème a touché la géolocalisation de l'utilisateur par le système, un cheval de bataille d'Apple.

S'en suit une succession d'échanges de mail entre octobre 2020 et mai 2021 où on lui explique que sa demande est étudiée, puis que la décision ne tardera plus et puis… que sa faille n'est pas éligible à une prime. À partir de là et en dépit de relances, Apple n'a plus donné suite.

En définitive Apple a estimé que ce bug touchant à la récupération indue de données de géolocalisation par une app n'entrait pas dans les critères d'une récompense. Pourtant la liste des failles inclut justement les accès non autorisés à des données dites sensibles, par des apps installées par l'utilisateur, et qui parviennent à s'affranchir des autorisations données. Qu'Apple refuse l'éligibilité à une prime peut se justifier mais dans le cas présent, la réponse paraît contradictoire.

Cette catégorie de bugs peut amener au paiement de primes de 25 000, 50 000 ou 100 000 $. De belles sommes à l'échelle d'un individu mais modestes pour Apple.

De quoi laisser Nicolas Brunner songeur et surtout agacé par cette expérience. Au vu de cet échange qui se sera étalé sur plus d'un an et avec ce qu'il en est ressorti, il ne voit aucun encouragement à renouveler l'expérience : « J'ai l'impression de m'être fait voler » écrit-il « Je ne vois pas pourquoi un développeur se casserait la tête à créer une app de démonstration, écrire le code source, échanger plusieurs email et tester le correctif dans les versions bêta. En ce qui me concerne on ne m'y reprendra pas ».

Pour aller plus loin :
Tags
#sécurité #bug bounty
avatar Danny Wilde | 

Toujours le même problème chez Apple.
Cette opacité aux règles qu’ils imposent.

Idem sur les garanties produits, pourquoi une prise en charge pour certains et pas d’autres.

J’imagine ce que cela doit être au niveau d’un salarié de la pomme.

Expérience très frustrante pour ce développeur, je compatis …

avatar R-APPLE-R | 

C’est un des côtés que je déteste chez Apple ! 😒

avatar Dimemas | 

pareil pour moi...
vraiment des pingres

avatar starsk | 

Très mauvaise attitude de le part d'Apple... je comprends la grande déception de ce developpeur. Un beau signal très motivant pour la marque... Apple : un pas en avant, deux pas en arrière... nul

avatar airmax95 | 

C est moche de leur part vraiment. Toujours aussi radin Apple.

avatar tigerjeff | 

La mesquinerie d’Apple dans toute sa splendeur !!
Multi milliardaire mais rechigne à verser 25/50.000$ !
C’est comme des centimes pour eux…

avatar Arnaud33 | 

Il y a surtout aussi le temps passé à chercher et à comprendre que c’est vraiment un bug, qu’il y a vraiment un problème , combien coûte l’heure de ce développeur au yeux d’Apple . Je comprend aisément le retour d’expérience …

avatar 5283manfred | 

Il n'y a pas de petites économies... ☹️

avatar deltiox | 

Mesquin

le risque est que tous ces développeurs ne cherchent plus à signaler des problèmes de sécurite

A long terme c’est forcément inquiétant pour tous

avatar raoolito | 

j’imagine deja le gars qui avait acheté ses billets d’avions à tahiti en salivant d’avance de la belle prime..

Franchement, l’open source est uniquement rempli de gens qui bossent gratuitement, les beta testeurs sont des dev (ou pas) qui utilisent/testent des softs apple sans recompense particuliere.
autant apple est mesquin (quelle surprise) autant faut pas non plus oublier que ce « travail » qu’il a decrit est realisé gratuitement pas des millions de gens en permanence et pas que chez apple.

avatar minipapy | 

@raoolito

Ah parce qu’on est dans un contexte de contribution open-source là ? Tu justifies le fait qu’un professionnel ne soit pas rémunéré par son travail parce que certains le font par passion ? Bravo !

Y’a plein de gens qui adorent la mécanique et qui bricolent sur leur temps libre. La prochaine fois que je vais au garage, je refuserai de payer la facture parce que « il y a plein de gens qui font de la méca gratuitement ».

Rendre fautives les victimes, c’est quand même exceptionnel. 😑

avatar raoolito | 

@minipapy
ce n'est en rien son travail
j'ai deja reporté des bugs a apple ( a macG aussi) et j'ai jalais demandé une récompense
il a essayé, apple est radin, bon.
ce n'est pas du tout le cadre pro que vous decrivez ici. notez en passant que ca aurait du etre les chemin de fer suisse qui auraient du recevoir le montant, ce type etant durant ses heures de travail.
je signe des contrats en permanence comme ca: rien de ce que je fais dans le cadre de mon boulot ne m'appartient

bref, qu'il l'ai amère ok, qu'ici ca bash comme jamais, c'est carrément exagéré

avatar MarcMame | 

@raoolito

"ce n'est pas du tout le cadre pro que vous decrivez ici. notez en passant que ca aurait du etre les chemin de fer suisse qui auraient du recevoir le montant, ce type etant durant ses heures de travail."

———-
Qu’est-ce qui te permet d’affirmer que ses recherches ont été effectuées pendant ses heures de travail et non les soirs, week-ends et vacances chez lui ?

avatar MarcMame | 

@raoolito

"j'ai deja reporté des bugs a apple ( a macG aussi) et j'ai jalais demandé une récompense"

————-
Est-ce qu’un seul de tes bugs découvert permettait l’accès à des données sensibles et normalement interdites par la fonction incriminée ?
Si la réponse est non, tu n’as rien à réclamer.

avatar raoolito | 

@MarcMame

encore une fois, il ne cherchait pas de bug, et dans le doute il a tenté
tout ce qu'on apprend de neuf c'est qu'apple est radin
et qu'un salarié peut espérer une prime externe a titre personnel pour un boulot rémunéré en tant que salarié

avatar bibi81 | 

tout ce qu'on apprend de neuf c'est qu'apple est radin

Euh non ce n'est pas nouveau ça ;)

avatar raoolito | 

@bibi81

lui c'etait un trait qui se voulait drôle 🤩
( y a til une personne qui l'ignore ici ?)

avatar MarcMame | 

@raoolito

"et qu'un salarié peut espérer une prime externe a titre personnel pour un boulot rémunéré en tant que salarié"

————-
Je te repose la même question à laquelle tu n’as pas daigné répondre :
« Qu’est-ce qui te permet d’affirmer que ses recherches ont été effectuées pendant ses heures de travail et non les soirs, week-ends et vacances chez lui ? »

avatar MarcMame | 

@raoolito

"encore une fois, il ne cherchait pas de bug, et dans le doute il a tenté "

————
Encore une fois tu éludes les questions.
Je te la repose aussi :
« Est-ce qu’un seul de tes bugs découvert permettait l’accès à des données sensibles et normalement interdites par la fonction incriminée ?
Si la réponse est non, tu n’as rien à réclamer. »

avatar Bigdidou | 

@minipapy

« Rendre fautives les victimes, c’est quand même exceptionnel. 😑 »

Hélas, non, je crois pas. :(
Après metoo, et les soi-disants changements de paradigmes dans nos représentations sociales, l’idée de la responsabilité des victimes dans ce qui leur arrive reste très présente.
Parfois, cela tourne même à l’insulte voire aux lynchage des victimes.

On le voit ici régulièrement dans les réseaux sociaux et ici même au point qu’il faut maintenant régulièrement fermer les réactions.

En entreprise, je vois encore régulièrement des gens harcelés se voir rendre au moins co-responsables de celui-ci avec parfois cet argument sublime : « si c’est vous qui êtes harcelé et pas un autre, c’est bien qu’il y a une raison et donc un problème de votre côté… ».

Donc, non, ce type de réaction ne m’étonne pas du tout :(
Même si elle me désole aussi, bien sûr ;)

Ce développeur ne peut avoir aucun recours en justice ? C’est trop compliqué ?
Parce que les sommes en jeu pour un individu commencent à valoir le coup de le faire…
Cette toute puissance et cette arrogance d’Apple est désolante, mais comment pourrait-il en être autrement ?

avatar R-APPLE-R | 

@minipapy

👏

avatar Un Type Vrai | 

Ce n'est ni un contexte de salariat, ni un contexte de contrat entre deux entités en tout cas.
Donc Apple a le droit de ne rien faire...

avatar occam | 

@raoolito

> « j’imagine deja le gars qui avait acheté ses billets d’avions à tahiti en salivant d’avance de la belle prime. »

Vous imaginez fort mal.
Mal, au vu du gars en question.
Mal, concernant le type qu'il incarne.
Mal, concernant le genre de dev qui se donne la peine de fournir un tel travail.

> « l’open source est uniquement rempli de gens qui bossent gratuitement »
> « faut pas non plus oublier que ce « travail » qu’il a decrit est realisé gratuitement pas des millions de gens en permanence et pas que chez apple »

Lisant cela, mon premier réflexe fut de suspecter une usurpation d'identité d'utilisateur.
Je peine à concevoir autant de cynisme, armé de méconnaissance crasse de l'éthique autant que de la pratique de l'Open Source, de la part du @raoolito que je pensais connaître.

Mais peut-être faut-il se résigner à accepter qu'une trop longue pratique d'Apple obscurcisse le jugement autant qu'elle corrompt la fibre morale. Rien qu'à cet escient, il est urgent de s'extraire de la bulle.

avatar R-APPLE-R | 

@occam

👏

avatar Bigdidou | 

@occam

« Mais peut-être faut-il se résigner à accepter qu'une trop longue pratique d'Apple obscurcisse le jugement autant qu'elle corrompt la fibre morale »

A mon tour de te dire que la, c’est toi qui me déçoit.
Pourquoi toujours cette tendance à généraliser et à transférer à ses utilisateur tes aversions pour Apple ?

Laisse à raolito ce qui appartient à raolito, et la responsabilité individuelle de ses propos.

Mon sens moral va très bien, malgré mon utilisation des machines Apple, merci.

Et si on jouait à un jeu qui consisterait à cesser de mépriser l’autre ici pour ce qu’il est ?

avatar raoolito | 

@occam

l'open source représente une quantité de travail gratuit ( mais pas que c'est un fait) qui est énorme
ce monsieur trouve un bug, bosse dessus etc, apple le remercie, corrige et credite
bon
apple ne paye pas. en soit on le sait et c'est dommage, triste, pas glop etc...
le dev a-t-il fait cela dans le but de gagner des sous? non, il s'est dit qu'apres tout ca devrait coller. pas de chance, apple dit non
il y a des boîtes entières qui menacent de couler parce qu'apple refuse de valider leur soft.
ici ce monsieur ne travaille ni pour lui, ni pour chercher des bugs.
c'est juste un exemple meme pas tres grave qu'apple est radin, et ca on le sait depuis la creation de l'entreprise

avatar fredsoo | 

Peut-être que la prochaine fois il sera tenté par le côté obscur de la force.

avatar DG33 | 

@fredsoo

Ce serait l’appât du gain qui le guiderait, ce qui n’était apparemment pas son cas en première intention, mais ça se comprendrait en seconde.
Chat échaudé craint l’eau froide.
A sa place je mettrais sa prochaine découverte aux enchères en considérant qu’Apple doit couvrir d’au moins 25-50k$ l’offre obscure, et ce sans la dévoiler.
My rules this time : pay to have a look.

avatar raoolito | 

@DG33

et donc il ferait cela pour l'argent ( j'insiste : il ne bossait pas pour lui il est salarié donc cette decouverte ne lui appartient meme pas)

avatar DG33 | 

@raoolito

Son statut de salarié n’est pas le pb d’Apple, c’est son pb, sa conscience et son rapport avec son employeur.
Apple n’a pas justifié le non paiement par le fait qu’il était salarié. Manquerait plus que ça.

avatar Un Type Vrai | 

Apple ne l'a pas fait...

avatar huexley | 

Arrivera bien un moment ou vendre ce genre de faille au black market sera bien plus intéressant financièrement…

avatar Marius_K | 

@huexley

Ca doit déjà être le cas, la difficulté est probablement de trouver le bon acheteur et de s'accommoder avec sa conscience...

avatar marenostrum | 

il aurait pu le faire, puisque il voulait une récompense. mais on peut penser que s'il est allé chez Apple, ça montre que ce qu'il a découvert n'est pas aussi critique ou intéressant pour les pirates.

avatar debione | 

@marenostrum:

Ah ben oui, incriminons la "victime".
Si moi demain je découvre une faille qu'est-ce que je fais? Je saurais même pas ou regarder du côté des pirates pour avoir un renseignement. Je prendrais l'option qui m'est proposée en grand: Apple.
Genre, sur ce site, honnêtement, qui connait un site ou on peut se renseigner sur la revente d'une faille sur le darknet? Pas sur que 1% le sache...

avatar Un Type Vrai | 

Victime de quoi ?
A quel moment Apple a failli un contrat avec lui ?
Je rêve...
Si je bosse gratos pour une boite sans que la boite le sache, je peux envoyer des mails pendant un an et me plaindre sur internet de la non rémunération ?
Bien sûr que NON !
Quand à remettre en cause le programme d'Apple sur une histoire qui n'a rien à voir (il a essayé a posteriori d'y entrer, pour rappel) c'est pas fair play.

Dans quel monde vivez vous ?

avatar Fredouille14 | 

C’est vers la NSA, le MOSAD, le FSB qu’il faut se tourner 😅

avatar pat3 | 

Pour moi, le problème réside dans la candeur de ce développeur.
Tous les récits de faille découverte et reportée à Apple explique en long et en large que les devs ont avertis Apple d’une faille avec un délai avant la publication de leur découverte. Ils n’ont fourni le travail d’analyse qu’une fois le deal passé avec Apple.
Là, le mec fait tout le boulot et le file à Apple sans savoir s’il va être récompensé. Apple est radin, c’est un fait connu de tous, ils ont été les derniers à mettre en place un dispositif de rémunération des découvertes de faille. C’est déplorable, je suis d’accord, mais c’est connu. Avec un radin pareil, il me semble prudent de prendre ses précautions.

avatar marenostrum | 

c'est pas critique ce qu'il a découvert. on le voit dans la réaction de Apple, que s'occupe de le régler dans une autre version de son système et pas directement.
pour ça qu'ils le payent pas aussi.

avatar debione | 

@ marenostrum:

Euh, ça c'est un peu la manière d'Apple d'agir... Des failles connues ont même été laissée ouverte des années (un peu de necroposting sur Macg ou ils en parlent), et ils compilent nombre de failles qu'ils résorbent non pas quand ils sont au courant, mais à la sortie de l'OS suivant...

avatar vince29 | 

Critique ou pas, ca rentre dans la definition du bug bounty donc tu payes.
Ou tu te decridibilised

avatar Un Type Vrai | 

Non, il n'est JAMAIS entré dans le programme d'Apple.
Donc tu payes pas.
Si un type lave ma voiture la nuit sans mon accord, il n'a pas le droit de réclamer des sous, même s'il clame partout que ma voiture est propre grâce à lui.

avatar IRONMAN65 | 

Ahhhh le mercantilisme….

avatar _Lion04_ | 

Apple a des points positifs mais aussi des négatifs. Je trouve que ce comportement de la part de l’entreprise est tout simplement scandaleux. Je comprends tout à fait que ce développeur ne souhaite plus aider Apple dans les failles.

avatar DG33 | 

Il monte une cagnotte leetchi avec les détails de son histoire, il en fait la pub et il gagnera plus, puis il claque le résultat à la face d’Apple.

avatar bibi81 | 

Règle n°1 : parler argent avant de parler technique.

Là la réponse d'Apple c'est : pourquoi est-ce que je devrais payer pour quelque chose que je connais déjà ?

avatar marenostrum | 

sauf que le système des récompenses est régularisé. même le chantage est interdit par la loi. il te reste que le marché noir (anonymement) pour négocier ta découverte.

avatar bibi81 | 

Je n'ai pas parlé de chantage.

avatar mat16963 | 

Comme souvent avec Apple on peut espérer que la mauvaise pub dans la presse les fasse réévaluer leur refus…

Mais franchement c’est tellement dégueulasse comme attitude… Apple a un tel mépris pour les chercheurs en sécurité et tous les testeurs Applseed et beta publique… c’est affligeant ! Quand je vois le suivi, toutes les infos disponibles, même un moteur de recherche pour vérifier de ne pas envoyer 2 fois le même feedback chez Microsoft par exemple… je me dis qu’Apple se fout quand même vraiment de la gueule du monde.
Je sais vraiment pas ce qui me fait rester et aimer cette boîte (et continuer à envoyer des rapports de bugs, risquer mon matériel en installant des betas… pour ça).

avatar Paquito06 | 

Fort regrettable comme experience, tres frustrant.
Le bareme, enfin la grille de recompense par rapport aux bugs n’est pas tres detaillee (du moins sur les screenshots de l’article), surement une erreur humaine du coté d’Apple, meme involontaire, mais aucun recours possible. Ca risquerait de couter davantage a Apple si ce genre d’histoire venait a se reproduire et/ou à se repandre parmi les developpeurs. Le jour où un bug important de la sorte est decouvert et mis a profit de malandrins, l’image d’Apple pourrait en prendre un coup, surtout au niveau de la securite/privacy/etc. Et pour quoi? $25k? Ridicule pour une boite qui encaisse $1 Milliard par jour.

Pages

CONNEXION UTILISATEUR