Apple traine toujours autant des pieds pour récompenser les chercheurs en sécurité

Nicolas Furno |

Apple dispose d’un programme qui récompense les chercheurs en sécurité qui signalent à l’entreprise les failles découvertes dans ses systèmes d’exploitation. C’est une pratique courante dans l’industrie, mais la firme de Cupertino a mis du temps pour s’y mettre et depuis l’ouverture de ce « bug bounty » courant 2016, les retours sont plus souvent négatifs que positifs.

Pendant l’été, c’est un développeur suisse qui faisait part de son mécontentement suite à la découverte d’une faille. Signalée immédiatement à Apple, la faille a été corrigée six mois plus tard sans que le constructeur ne donne de signe de vie entre les deux. Et quand le développeur a voulu obtenir la rémunération promise par le programme, il a reçu une fin de non recevoir et le constructeur ne l’a jamais payé.

Illustration illusionofchaos

Cette fois, c’est un chercheur en sécurité russe qui se plaint du traitement d’Apple. Celui qui se fait appeler illusionofchaos raconte ses mésaventures sur le site Habr. Il a découvert quatre failles de sécurité « 0-days », des vulnérabilités qui n’étaient pas connues jusque-là, et les a signalées à Apple entre le 10 mars et le 4 mai 2021. L’entreprise a corrigé une de ces failles dans iOS 14.7, mais les trois autres sont encore présentes sous iOS 15.

Depuis le départ, il n’a reçu qu’une sorte d’accusé de réception de la part d’Apple. Quand iOS 14.7 est sortie, la faille corrigée n’a pas été mentionnée par l’entreprise, alors que c’est pourtant la pratique commune. Le chercheur en sécurité s’en est plaint et il a obtenu des excuses, avec la précision que les mentions arriveraient plus tard. Plusieurs mises à jour de sécurité sont sorties depuis et Apple n’a jamais reconnu son travail.

Face aux silences de l’entreprise, il a publié des preuves de concept pour toutes les failles découvertes, y compris celles qui existent encore sous iOS 15. Leur gravité varie, mais la plus grosse permet d’accéder à des données sensibles : e-mail et nom complet du compte iCloud de l’appareil ; accès complet à la base de données qui contient la liste de tous les contacts avec lesquels vous interagissez dans Messages, Mail et même les apps tierces ainsi que les métadonnées associées à ces conversations ; accès complet au carnet d’adresses de l’appareil (sous iOS 14 seulement).

Apple a eu l’information plusieurs mois avant la sortie d’iOS 15 et le programme de bug devrait justement servir à corriger ces failles plus rapidement. Sans même parler de reconnaissance ou de rémunération, comment peut-on expliquer que plus de six mois après avoir obtenu l’information de la part d’un chercheur en sécurité, ces failles soient toujours présentes ?

L’entreprise n’a jamais aimé ce programme, on le sent bien à chaque témoignage de ce type. En théorie, il existe pour attirer les chercheurs en sécurité dont ces failles peuvent être un gagne-pain, pour éviter qu’ils ne les vendent aux « mauvais » acteurs, comme NSO Group qui est revenu sur le devant de la scène cet été avec Pegasus. En pratique, Apple ne prend même pas la peine de corriger les failles et quand elle le fait, elle rechigne à ouvrir le porte-monnaie ou même à simplement remercier publiquement le responsable.

La firme la plus riche au monde refuse toujours de payer des sommes dérisoires par rapport à ce qu’elle dispose dans ses coffres. Ou quand elle paye, c’est une fraction de ce qu’elle devrait : un développeur qui a trouvé une faille corrigée avec macOS 11.3 n’a obtenu que 5 000 $ sur les 100 000 promis à la base.

Comme souvent, la mauvaise publicité générée par la publication des trois failles restantes devrait inciter Apple à les corriger au plus vite. Tant mieux pour les utilisateurs, mais le message envoyé aux chercheurs en sécurité est encore une fois lamentable. Espérons que les changements promis au début du mois arriveront vite…

Apple va bonifier son bug bounty pour attirer des chercheurs en sécurité pas très enthousiastes

Apple va bonifier son bug bounty pour attirer des chercheurs en sécurité pas très enthousiastes


avatar iftwst | 

Autant les gamineries d’Epic me fatiguent et je défends Apple mais la vraiment pas.

Quelle pingrerie !! 🤬

Apple doit changer la dessus car cette attitude est déplorable.

avatar YetOneOtherGit | 

@iftwst

"Autant les gamineries d’Epic me fatiguent et je défends Apple mais la vraiment pas. "

Pourquoi des gamineries ?

C’est des enjeux de stratégie business on ne peut plus adulte et sérieux !

Pourquoi défendre Apple ?

avatar fte | 

@iftwst

"Quelle pingrerie !! 🤬"

Ça encore, venant de la part d’Apple, vraiment aucune raison d’être surpris. Ce n’est pas l’éthique qui les étouffent.

Ne pas fixer les failles dont ils ont été informés, quand de l’autre côté ils utilisent l’argument de la sécurité pour justifier leur store exclusif, il y a de quoi les gifler à toute volée jusqu’à ce des têtes en tombent.

avatar Totoche31 | 

Quel drame 😒

avatar Napoba12 | 

Apple n’est pas riche pour rien
Elle a su garder son argent à la place de le dépenser. Que ce soit pour de bonnes ou de mauvaises raisons … 😡🤬

avatar raoolito | 

@Napoba12

oui, mais quand meme, ce sont des failles documentées. Je pourrais au moins concevoir qu'ils ne les payent pas, mais les comblent ! (c pas genial mais au minimum!)

avatar YetOneOtherGit | 

@Napoba12

"Elle a su garder son argent à la place de le dépenser"

Nope ce n’est pas l’explication, Apple dépense, Apple dépenses énormément et pas de façon pingre.

La raison de cette sous valorisation des travaux de recherche de faille reste un mystère pour moi et pour beaucoup, tant elle difficile à expliquer rationnellement.

Il y a certainement un biais d’ordre culturel parmi les dirigeants autour de ces questions pas forcément très rationnel. 😉

Mais la motivation n’est pas d’ordre financière.

avatar pat3 | 

@YetOneOtherGit

"La raison de cette sous valorisation des travaux de recherche de faille reste un mystère pour moi et pour beaucoup, tant elle difficile à expliquer rationnelleme"

On est d’accord. Je n’arrive pas à trouver z rationalité à ce comportement.

avatar YetOneOtherGit | 

@pat3

"On est d’accord. Je n’arrive pas à trouver z rationalité à ce comportement."

J’ai parfois vu des choses tellement étonnantes dans les motivations des grandes boites, peut-être un jour auront nous une explication qui ressortira😉

avatar debione | 

@ YetOneOtherGit:

Une des possibilité est ... la mauvaise publicité et que cela pourrait allez à l'encontre du marketing de base de chez Apple depuis... pfff... longtemps et qui est une des culture de l'entreprise.
Que de nommer des gens extérieurs à Apple est une preuve que l'entreprise n'est pas si rose que dans les pub, que de donner "beaucoup" d'argent est une preuve d'un mauvais travail à l'interne. Tout est fait pour minimiser l'image d'une entreprise qui ne fonctionne pas à la perfection à l'interne. Peur de devenir dans l'aura des gens, une société lambda...

Je pense que dans les raisons, celle-ci en fait partie.

avatar YetOneOtherGit | 

@debione

"la mauvaise publicité et que cela pourrait allez à l'encontre du marketing de base de chez Apple depuis"

J’y crois fort peu comme dit plus haut, l’impact de la découverte de failles ne dépasse pas un microcosme et n’a strictement aucun impact sur le business.

A la limite on pourrait justement considérer qu’Apple sait cyniquement que ces questions n’ont quasiment pas d’impact sur le business et les traites avec une priorité assez basse 😉

avatar debione | 

@ YetOneOtherGit:

Ou que justement être par exemple l'entreprise qui rémunère le mieux ce genre de chose ferait effet boule de neige sous le sceau du: "faut trouver des failles chez Apple et c'est le jackpot. " (donc que ces failles sont d'une importance cruciale"
En minimisant les primes, ils minimisent aussi dans l'inconscient des geek et des gens la notion de failles concernant Apple.

Ce n'est pas LA raison, mais cela fait partie de l'équation.

avatar Ginger bread | 

Simple identifiez des failles sur les outils Microsoft ou Android, au moins vous aurez une reconnaissance financière et reconnue.

avatar frankm | 

Apple est plus motivé à vous vendre des Apple Watch qui surveille votre santé, alors que bouffer des bounty c’est pas healthy

avatar Bounty23 | 

Aberrant

Ça ne motive pas à communiquer les failles à Apple si en face des mecs prêt à acheter ces mêmes failles pour raisons malveillante n’hésitent pas à sortir le cash…

avatar florian69360 | 

Pour temps il font du bon boulot les chercheurs faux les encourager

avatar DG33 | 

@florian69360

Sé vrê

avatar Garfield3 | 

En même temps apple n'a jamais été connue pour sa générosité, et en plus récompenser des gens qui arrivent à hacker son système ouvertement alors qu'une partie de son marketing est de dire que son système est sur et que vos données le sont tout autant, c'est un peu comme si mon banquier me disait que mon argent placé dans son coffre inviolable se faisait violer outrageusement au congrès annuel des braqueurs de coffre. 🤡

avatar YetOneOtherGit | 

@Garfield3

"et en plus récompenser des gens qui arrivent à hacker son système ouvertement alors qu'une partie de son marketing est de dire que son système est sur "

L’impact en terme d’image de marque des découvertes de failles est absolument négligeable.

Cela touche un microcosme et cela n’affole pas grand monde.

L’explication me semble difficile à trouver de ce côté là et pas plus que sur des questions financières 🤔

avatar en chanson | 

@YetOneOtherGit

Reconnais au moins que ta marque fétich€ est un rat ! Même pas ?

avatar YetOneOtherGit | 

@en chanson

“Reconnais au moins que ta marque fétich€ est un rat ! Même pas ? “

Tiens une de ces petites souillures prétendument acide que tu est si fier d’exhiber publiquement dans une parfaite régression au stade anal 👏👏👏👏

Il est évident inutile d’essayer d’expliquer à une énergumène de ton engeance qui n’existe que pour essayer d’être un Tullius Détritus au petit pied des forums, qu’Apple n’est en rien ma marque fétiche comme le fantasme par paresse intellectuelle quelques bas de plafond incapable de prendre la moindre hauteur et de sortir de leur infantile vision manichéenne du monde.

Il suffirait que tu sois capable de comprendre mais continuation pour t’en convaincre.

Ne serait-ce que sur l’affaire EPIC/Apple où je n’ai nullement bêtement défendu l’un ou l’autre camp.

Ou dans ma défense régulière des produits MS, d’Intel, de Samsung…

C’est un certain rapport à la raison que je défends, nullement Apple.

Et ici aussi il faut être particulièrement incapable de raisonner autrement qu’avec ses viscères pour croire que ces de triviales raisons de “pingrerie” qui motive la position d’Apple.

Apple comme bien des entreprises n’est nullement avare de dépense quand elle lui sont profitable, voir de dépense somptuaire qui pourrait sans souci être réduite comme par exemple leur très coûteux siège social.

Ce qui t’indispose c’est que l’on ose faire preuve de mesures et de capacité d’analyse face aux enjeux quoi qu’il concerne, là où tu aimes n’avoir que de triviales et imbécile réactions épidermiques prenant la forme d’éructation rance.

Et c’est bien loin de ne concerner que la fixation que tu fais sur Apple qui n’est que le symbole de tes rage, de tes frustrations, de tes peurs.

La caricature manichéenne au raz des pâquerettes n’a jamais permis autre chose que de vain défoulement au mieux et des horreurs au pire.

Continue donc à te fixer sur des bouc-émissaire, l’histoire montre que c’est remarquablement efficace 🤢🤮

avatar irishboy | 

@YetOneOtherGit

Tu es un point irritable non ? Calmons nous en s’accordant sur le fait qu’une entreprise de l’envergure d’Apple qui fait de la sécurité un de ces fers de lance devrait au moins accorder plus de crédit à ceux qui y contribuent.

Pas besoin de s’écharper comme ça … de toute façon ca leur en touche une sans faire bouger l’autre !

avatar YetOneOtherGit | 

@irishboy

"Tu es un point irritable non ?"

Tu connais pas le personnage et son œuvre 😉

avatar irishboy | 

@YetOneOtherGit

Ahah si je me délecte souvent de tes belles tournures mais quand tu en fais usage pour descendre les autres avec un propos un brin pompeux c’est moins agréable 😂 je ne cherche point le conflit, je dis juste que ça n’aide en rien le propos !

avatar YetOneOtherGit | 

@irishboy

"Ahah si je me délecte souvent de tes belles tournures mais quand tu en fais usage pour descendre les autres avec un propos un brin pompeux c’est moins agréable 😂"

Le retour à l’art du pamphlet vite torché ne fait pas de mal de temps à autre face à quelques énergumènes trollesques 🥸🥳😉

avatar YetOneOtherGit | 

@irishboy

"Calmons nous en s’accordant sur le fait qu’une entreprise de l’envergure d’Apple qui fait de la sécurité un de ces fers de lance devrait au moins accorder plus de crédit à ceux qui y contribuent. "

Absolument d’accord sur ce constat.

C’est la motivation qui m’interroge comme tu pourras le lire plus haut.

Ce n’est certainement pas pour des raisons financières, je crois peu au enjeu de com.

Il ya quelque chose d’irrationnel et d’assez mystérieux sur cet étrange état de fait 😉

Contrairement à ce que fantasme le polémiste à la petite semaine mon enjeu n’est nullement de prétendre qu’Apple à raison d’agir ainsi.

La position d’Apple est absolument irrationnel sur cette question 🤔

Je sais d’expérience que les motivations de ce type de situation irrationnelle peuvent être étranges et presque ridicules même dans des grandes entreprises.

Mais j’espère que cela bougera pour le bien des utilisateurs 🤞

avatar irishboy | 

@YetOneOtherGit

A l’inverse en faire une mauvaise presse récurrente devrait, à terme, pouvoir aider à faire évoluer les choses ! Je trouve ça personnellement vraiment choquant quand on sait avec quelle facilité il pourrait revendre de telles failles à tout autre individu bien plus mal intentionné !

avatar YetOneOtherGit | 

@irishboy

"A l’inverse en faire une mauvaise presse récurrente devrait, à terme, pouvoir aider à faire évoluer les choses"

On surestime toujours terriblement le poids du microcosme technophile sur le marché.

Le bad buzz sur des questions bien plus médiatisées n’a quasiment aucun effet, alors la communication dans le microcosme sur un sujet de ce type ça pèse autant sur le business des entreprises qu’une didascalie dans un scénario de film porno gonzo 😂😄😉

avatar Steve Molle | 

@irishboy

Un point irritable ?

Comment dire…non non. Ce n’est pas l’expression qu’il faut utiliser à son endroit.

avatar debione | 

@irishboy:

"Calmons nous en s’accordant sur le fait qu’une entreprise de l’envergure d’Apple qui fait de la sécurité un de ces fers de lance devrait au moins accorder plus de crédit à ceux qui y contribuent."
Et si ceux qui y contribue ne font pas partie d'Apple, cela implique qu'Apple ne fait pas autant qu'elle le devrait, mais doit recourir à des agences externes pour y parvenir... Ce qui contrevient en plein fouet avec l'image d'épinal qu'essaie de se donner Apple: Nous maitrisons tout, du hard au soft.

avatar YetOneOtherGit | 

@debione

"Et si ceux qui y contribue ne font pas partie d'Apple, cela implique qu'Apple ne fait pas autant qu'elle le devrait, mais doit recourir à des agences externes pour y parvenir... Ce qui contrevient en plein fouet avec l'image d'épinal qu'essaie de se donner Apple: Nous maitrisons tout, du hard au soft."

Encore une fois d’immenses doutes sur cette focalisation sur des enjeux d’image.

Les très grandes entreprises sont assez résiliante à des bad buzz autrement plus médiatisé, je ne vois vraiment pas pourquoi elles s’inquièteraient de choses touchant assez vaguement un microcosme.

On surestimes toujours terriblement le poids du microcosme technophiles sur le marché.

avatar debione | 

@ YetOneOtherGit:

L'image que l'on donne d'une entreprise est bien plus importante que le produit que vend l'entreprise.
Sinon, pourquoi Apple se battrait corps et âme jusque dans le ridicule pour protéger l'image de son logo? Parce qu'Apple est résilient? Ou parce qu'Apple réduit l'angle d'attaque au minimum?

avatar YetOneOtherGit | 

@debione

"L'image que l'on donne d'une entreprise est bien plus importante que le produit que vend l'entreprise"

Yep ce n’est en rien en contradiction avec mes propos mais les enjeux d’image de marque d’apple dépassent très largement le microcosme technophile.

Pour s’en convaincre il n’est qu’à voir l’incroyable décalage entre toutes les enquêtes d’image de marque, de notoriété, de satisfaction, de NPS et les commentaires des « experts» ne MacGe qui n’ont absolument pas conscience d’être représentatif de fort peu de choses😄😉

avatar JOHN³ | 

Apple, c’est l’humain avant tout.

avatar brucewayne | 

C’est contre productif, le message est clair : si vous trouvez une faille de sécurité , vendez la au plus offrant

avatar marenostrum | 

ça se vend pas (elles sont pas exploitables sans en avoir l'appareil ou installer un truc). ça explique pourquoi Apple ne paye pas.

ici un article de quelques jours, disait que quelqu'un avait obtenu 64 000 euros pour une faille critique. bref ça dépend de la faille.

avatar brucewayne | 

@marenostrum

Je ne parle pas pour ce cas de figure en particulier mais de manière générale. Donner une info à Apple c’est prendre le risque de pas recevoir de prime. La vendre c’est s’assurer de son revenu.

avatar sachouba | 

@marenostrum

Tu veux dire : ça ne se vend plus parce qu'il y en a déjà trop.
https://www.google.com/amp/s/www.theregister.com/AMP/2020/05/14/zerodium_ios_flaws/

avatar huexley | 
avatar Tibimac | 

Tout comme déjà dis par d'autres, autant je défend Apple sur les gamineries avec Epic et consort autant là sur ce programme de bug bounty c'est vraiment une honte cette malhonnêteté d'Apple qui est incompréhensible !

avatar Castio | 

Cela fait tellement longtemps que seul les prix Apple reflètent le luxe alors que technologies et fiabilité trahissent la mentalité chinoise des lieux de production, qu’il n’y a pas de raison que cette pauvre et modeste société sorte par le haut pour un sujet méconnu de 90% du grand public.
Apple adore communiquer et s’arroger des mérites légitimement ou non du moment que ça lui rapporte encore plus, mais respecter des ingénieurs qui rendent service dans l’ombre est au dessus de ses forces et de son ADN.

avatar Castio | 

En se comportant comme elle le fait avec des ingénieurs en sécurité chevaliers blancs après avoir vendus des matériels pleins pots, ce sont surtout les utilisateurs finaux de la marque qui sont insultés.

avatar Steve Molle | 

Moi j’appelle ça de l’escroquerie … mais bon dans ce monde aseptisé, fanboysé et politiquement correct, il vaut mieux tenter des formules alambiquées voire mensongères pour justifier ce genre de pratiques que de dire les choses.

avatar starsk | 

Au final les utilisateurs le paieront quand un futur scandal de sécurité explosera. Entre ca et le scan des iPhones, j’ai de plus en plus de mal avec Apple. Sans parler de coté pompeux peplumesque des kesynotes… Apple est devenu trop grande, trop riche, trop arrogante…

avatar Labsyb | 

- Tim, j'ai encore reçu une alerte du département Apple Security Bounty.
- Du quoi ??
- Apple Security Bounty. Le programme de rapport de failles de sécurités qui encour...
- Ah oui, ça me revient. Qu'est ce qui se passe? Les fauteuils ne sont pas assez moelleux ? La café est froid ?
- Non. Enfin, oui aussi. Mais c'est surtout qu'il y a encore des rapporteurs de bugs qui se plaignent de ne pas être payés?
- Encore des enfoirés qui veulent nous saigner... T'en as parlé à Craigh ?
- Injoignable, parait qu'il est à la pêche.
- Et Luca ?
- Il est avec Craigh. De toute façon la dernière fois il m'a dit qu'il...
- Ok. Ben démerde toi. Y a bien quelqu'un qui peut prendre le sujet dans cette putain de boite. Tu veux pas que je m'occupe des commandes de PQ aussi ?
- Apparemment personne n'en a rien à foutre.
- Bon, envoie moi un mail, je verrai ce que je peux faire. J'en parlerai à Katherine à l'occase.
- C'est ce que tu m'as dit la dernière fois aussi... On commence à passer pour des connards...
- John ?
- Oui, Tim ?
- Tu te plais chez Apple ?
- Bah euh... ouai.... bien sûr Tim.
- Alors vas voir ailleurs si j'y suis.
- D'acc, sorry Tim...

avatar r e m y | 

Toi tu n'as pas reçu le mail de Tim qui explique que "ce qui se passe chez Apple, doit rester chez Apple"...
Rendre public ainsi un échange de propos internes risque de te coûter cher! 🥴

avatar powergeek | 

Ils gardent les corrections pour iOS 16 et les iPhone 14. Faut quelques nouveautés pour motiver les gens à changer de matériel 😂

avatar Nielp | 

Ou alors à un niveau au dessus d'apple, ya des gens dans un bureau du Maryland qui leur ont dis de ne rien faire pour le moment. :)

Plutôt que d'espérer quelque chose de la part d'apple, les hackers devraient lui faire vivre la même expérience que MS a eu avec Windows XP. Le meilleur moyen de faire plier apple c'est que le rêve marketing du tout plus mieux que les autres et c'est pour ça que c'est si cher s'écroule devant la réalité.

1 ou 2 années de cauchemar et apple débauchera 500 chercheurs en sécurité pour éviter de revivre l'enfer.

avatar kitetrip | 

Pour connaître quelqu’un, n’écoutez pas ce qu’il dit ; regardez plutôt ce qu’il fait.

C’est aussi valable pour les entreprises… et pour Apple le fossé entre le discours et la réalité s’agrandît d’année en année

avatar fte | 

@kitetrip

"C’est aussi valable pour les entreprises… et pour Apple le fossé entre le discours et la réalité s’agrandît d’année en année "

Ce n’est pas nouveau. Il s’est agrandi avec l’iPod puis l’iPhone. Il s’est agrandi avec les phases de croissance spectaculaire. Il stagne le reste du temps.

Je pense que tu y prêtes plus attention, simplement.

Rien que le "Designed in California" est risible au fond, lorsqu’on y pense. Encore faut-il y penser et se questionner.

CONNEXION UTILISATEUR