Ouvrir le menu principal

MacGeneration

Recherche

Un (mauvais) retour d'expérience sur le programme de primes de sécurité d'Apple

Florian Innocente

mercredi 14 juillet 2021 à 09:35 • 59

AAPL

Depuis 2016, Apple offre des primes de sécurité aux développeurs, chercheurs ou hackers qui découvrent d'importantes failles de sécurité dans ses logiciels. Des sommes qui vont de 25 000 dollars à 1 million, en fonction de la nature et de la gravité du bug révélé.

Un programme auquel a participé Nicolas Brunner mais qui l'a laissé amer sur son fonctionnement et sur la manière dont Apple a traité sa découverte. Développeur aux Chemins de fer fédéraux suisse, il est tombé par hasard sur un bug lié à la géolocalisation, présent dans iOS 13 et qu'Apple a confirmé et corrigé dans iOS 14.



C'est en mars 2020, raconte Brunner, qu'en travaillant sur un développement impliquant un suivi de géolocalisation par des beacons, il remarque un comportement anormal d'iOS. Son app de test peut continuer de récupérer la position de l'iPhone alors que l'utilisateur l'a expressément interdit lorsqu'elle est en arrière-plan.

Le 2 mars, il contacte l'équipe de sécurité d'Apple en fournissant tous les éléments pour reproduire ce dysfonctionnement. Le 10 mars il reçoit une réponse le prévenant que ce problème est à l'étude. Ce n'est que 6 mois plus tard, les 8 et 19 septembre, qu'il est informé que la faille est normalement bouchée dans une bêta du futur iOS 14 — on lui demande de le vérifier — et qu'il sera crédité pour sa trouvaille dans la page des mises à jour de sécurité.



Sa contribution reconnue, Brunner en profite pour demander à bénéficier d'une récompense de l'Apple Security Bounty. Une requête légitime puisque que le problème a touché la géolocalisation de l'utilisateur par le système, un cheval de bataille d'Apple.

S'en suit une succession d'échanges de mail entre octobre 2020 et mai 2021 où on lui explique que sa demande est étudiée, puis que la décision ne tardera plus et puis… que sa faille n'est pas éligible à une prime. À partir de là et en dépit de relances, Apple n'a plus donné suite.

En définitive Apple a estimé que ce bug touchant à la récupération indue de données de géolocalisation par une app n'entrait pas dans les critères d'une récompense. Pourtant la liste des failles inclut justement les accès non autorisés à des données dites sensibles, par des apps installées par l'utilisateur, et qui parviennent à s'affranchir des autorisations données. Qu'Apple refuse l'éligibilité à une prime peut se justifier mais dans le cas présent, la réponse paraît contradictoire.



Cette catégorie de bugs peut amener au paiement de primes de 25 000, 50 000 ou 100 000 $. De belles sommes à l'échelle d'un individu mais modestes pour Apple.

De quoi laisser Nicolas Brunner songeur et surtout agacé par cette expérience. Au vu de cet échange qui se sera étalé sur plus d'un an et avec ce qu'il en est ressorti, il ne voit aucun encouragement à renouveler l'expérience : « J'ai l'impression de m'être fait voler » écrit-il « Je ne vois pas pourquoi un développeur se casserait la tête à créer une app de démonstration, écrire le code source, échanger plusieurs email et tester le correctif dans les versions bêta. En ce qui me concerne on ne m'y reprendra pas ».

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Selon Tim Cook, Apple « progresse » sur le développement du nouveau Siri

10:58

• 8


Cotypist suggère du texte soufflé par l’IA dans toutes les apps sur le Mac

10:45

• 0


Promos sur des batteries externes de grosse capacité pour iPhone et MacBook

09:50

• 0


iOS 19 pourrait offrir plusieurs nouveautés pour Stage Manager et les styles photographiques

09:15

• 12


Profitez de Microsoft Office à petit prix pendant les French Days 2025 📍

01/05/2025 à 23:20

• 0


Apple : des résultats solides, mais la Chine et les droits de douane inquiètent

01/05/2025 à 22:56

• 19


La direction de Tesla aurait cherché un remplaçant pour Musk, suite aux difficultés de l’entreprise

01/05/2025 à 21:00

• 72


Microsoft augmente les prix des Xbox, de leurs manettes et de leurs jeux

01/05/2025 à 16:05

• 57


MacBook Air M4 : la chute des prix se poursuit encore sur ce nouvel incontournable 🆕

01/05/2025 à 15:30

• 55


Nos trucs et astuces pour mieux utiliser Apple Pay sur votre iPhone

01/05/2025 à 15:20

• 32


French Days : le très robuste SSD externe Samsung T7 Shield 2 To à 169 € (- 23 %)

01/05/2025 à 11:30

• 9


French Days : Orange et Sosh suppriment les frais de mise en service qui venaient d’être ajoutés

01/05/2025 à 11:00

• 20


Gabriel Attal souhaite limiter drastiquement l’accès des mineurs aux réseaux sociaux, en imitant la Chine

01/05/2025 à 10:30

• 72


Apple mord la poussière face à Epic, mais ne rend pas les armes

01/05/2025 à 10:00

• 63


French Days : CyberGhost, le meilleur VPN pour Mac à 2,03 € par mois (et franchement, vous auriez tort de vous en priver) 📍

30/04/2025 à 23:47

• 0


Google : NotebookLM génère des podcasts en français à partir de vos documents

30/04/2025 à 16:24

• 20