Un (mauvais) retour d'expérience sur le programme de primes de sécurité d'Apple

Florian Innocente |

Depuis 2016, Apple offre des primes de sécurité aux développeurs, chercheurs ou hackers qui découvrent d'importantes failles de sécurité dans ses logiciels. Des sommes qui vont de 25 000 dollars à 1 million, en fonction de la nature et de la gravité du bug révélé.

Un programme auquel a participé Nicolas Brunner mais qui l'a laissé amer sur son fonctionnement et sur la manière dont Apple a traité sa découverte. Développeur aux Chemins de fer fédéraux suisse, il est tombé par hasard sur un bug lié à la géolocalisation, présent dans iOS 13 et qu'Apple a confirmé et corrigé dans iOS 14.



C'est en mars 2020, raconte Brunner, qu'en travaillant sur un développement impliquant un suivi de géolocalisation par des beacons, il remarque un comportement anormal d'iOS. Son app de test peut continuer de récupérer la position de l'iPhone alors que l'utilisateur l'a expressément interdit lorsqu'elle est en arrière-plan.

Le 2 mars, il contacte l'équipe de sécurité d'Apple en fournissant tous les éléments pour reproduire ce dysfonctionnement. Le 10 mars il reçoit une réponse le prévenant que ce problème est à l'étude. Ce n'est que 6 mois plus tard, les 8 et 19 septembre, qu'il est informé que la faille est normalement bouchée dans une bêta du futur iOS 14 — on lui demande de le vérifier — et qu'il sera crédité pour sa trouvaille dans la page des mises à jour de sécurité.



Sa contribution reconnue, Brunner en profite pour demander à bénéficier d'une récompense de l'Apple Security Bounty. Une requête légitime puisque que le problème a touché la géolocalisation de l'utilisateur par le système, un cheval de bataille d'Apple.

S'en suit une succession d'échanges de mail entre octobre 2020 et mai 2021 où on lui explique que sa demande est étudiée, puis que la décision ne tardera plus et puis… que sa faille n'est pas éligible à une prime. À partir de là et en dépit de relances, Apple n'a plus donné suite.

En définitive Apple a estimé que ce bug touchant à la récupération indue de données de géolocalisation par une app n'entrait pas dans les critères d'une récompense. Pourtant la liste des failles inclut justement les accès non autorisés à des données dites sensibles, par des apps installées par l'utilisateur, et qui parviennent à s'affranchir des autorisations données. Qu'Apple refuse l'éligibilité à une prime peut se justifier mais dans le cas présent, la réponse paraît contradictoire.



Cette catégorie de bugs peut amener au paiement de primes de 25 000, 50 000 ou 100 000 $. De belles sommes à l'échelle d'un individu mais modestes pour Apple.

De quoi laisser Nicolas Brunner songeur et surtout agacé par cette expérience. Au vu de cet échange qui se sera étalé sur plus d'un an et avec ce qu'il en est ressorti, il ne voit aucun encouragement à renouveler l'expérience : « J'ai l'impression de m'être fait voler » écrit-il « Je ne vois pas pourquoi un développeur se casserait la tête à créer une app de démonstration, écrire le code source, échanger plusieurs email et tester le correctif dans les versions bêta. En ce qui me concerne on ne m'y reprendra pas ».


avatar cosmoboy34 | 

je comprend pas cette mauvaise pub qu’ils se font à eux même….

Présenter en grande pompe ce programme pour ensuite jouer de pingrerie et ainsi écorner l’image Apple pour une somme aussi dérisoire 🤔

avatar Steve Molle | 

Des radins doublés d’escrocs.

avatar powergeek | 

Et tous ces crash reports que nous envoyons volontairement à Apple quand une appli se plante sous macOS ? L'OS est gratuit c'est donc à nous de faire une partie du job 😅 Idem sous iOS et IPAD OS qui nous demandent au premier lancement et à chaque mise à jour si nous souhaitons participer à l'amélioration de l'OS ?

avatar L.Fire | 

La prochaine fois il fera surtout la demande de rémunération avant de donner la réponse au problème 😉. Le monde est très cruel avec les naïfs.

avatar debione | 

Pour faire les marges qu'ils font, il faut avoir cela dans le sang. Ne rien laisser passer, toujours calculer ce que cela coutera pour ce que cela rapportera.
Bref, si Apple est devenue si riche, ce n'est pas à cause de leur bon produit (d'autres sont devenu riche avec de la merde), mais bien de leurs gestion. Et en gestion, TC est sans doute le plus grand requin de tous les temps, SJ le savait, ce n'est pas pour rien qu'il l'a mis à la tête... Avenir assuré.

avatar onclebobby | 

Et pourquoi il ne dépose pas plainte, vu les montants en jeu?

avatar Q | 

Et oui ! Vous pensez qu’Apple est devenu riche comment ?! La prochaine fois il vaut mieux revendre la trouvaille sur le DarkNet :)

avatar Vivid (non vérifié) | 

Les pauvres chochottes qui tombent des nus face à Apple, et mon sourire illumine mon visage.

avatar Un Type Vrai | 

J'adore les commentaires débiles sur la "radinerie" d'Apple.
Alors quelques faits :
1) On a pas la version d'Apple...
2) Un type lambda, inconnu d'Apple a décidé de chier en place publique sur un programme de bounty bug dont il n'a JAMAIS fait partie.
3) Un type qui travaille pour une société sans que la société ne soit au courant n'engage PAS la société en question.

J'arrête là, j'ai l'impression que les cerveaux sont partis en vacances dans les réponses.

Je trouve très limite que MacG publie un tel titre pour un cas isolé, non reproduit et probablement pas légitime puisque, encore une fois, le type n'a JAMAIS fait partie du programme et donc ce n'est pas "une retour d'expérience sur le programme de primes de sécurité d'Apple".
"Un avis externe déçu" est probablement moins vendeur, mais beaucoup plus juste.

Pages

CONNEXION UTILISATEUR