Ouvrir le menu principal

MacGeneration

Recherche

Apple traine toujours autant des pieds pour récompenser les chercheurs en sécurité

Nicolas Furno

vendredi 24 septembre 2021 à 16:35 • 50

AAPL

Apple dispose d’un programme qui récompense les chercheurs en sécurité qui signalent à l’entreprise les failles découvertes dans ses systèmes d’exploitation. C’est une pratique courante dans l’industrie, mais la firme de Cupertino a mis du temps pour s’y mettre et depuis l’ouverture de ce « bug bounty » courant 2016, les retours sont plus souvent négatifs que positifs.

Pendant l’été, c’est un développeur suisse qui faisait part de son mécontentement suite à la découverte d’une faille. Signalée immédiatement à Apple, la faille a été corrigée six mois plus tard sans que le constructeur ne donne de signe de vie entre les deux. Et quand le développeur a voulu obtenir la rémunération promise par le programme, il a reçu une fin de non recevoir et le constructeur ne l’a jamais payé.

Illustration illusionofchaos

Cette fois, c’est un chercheur en sécurité russe qui se plaint du traitement d’Apple. Celui qui se fait appeler illusionofchaos raconte ses mésaventures sur le site Habr. Il a découvert quatre failles de sécurité « 0-days », des vulnérabilités qui n’étaient pas connues jusque-là, et les a signalées à Apple entre le 10 mars et le 4 mai 2021. L’entreprise a corrigé une de ces failles dans iOS 14.7, mais les trois autres sont encore présentes sous iOS 15.

Depuis le départ, il n’a reçu qu’une sorte d’accusé de réception de la part d’Apple. Quand iOS 14.7 est sortie, la faille corrigée n’a pas été mentionnée par l’entreprise, alors que c’est pourtant la pratique commune. Le chercheur en sécurité s’en est plaint et il a obtenu des excuses, avec la précision que les mentions arriveraient plus tard. Plusieurs mises à jour de sécurité sont sorties depuis et Apple n’a jamais reconnu son travail.

Face aux silences de l’entreprise, il a publié des preuves de concept pour toutes les failles découvertes, y compris celles qui existent encore sous iOS 15. Leur gravité varie, mais la plus grosse permet d’accéder à des données sensibles : e-mail et nom complet du compte iCloud de l’appareil ; accès complet à la base de données qui contient la liste de tous les contacts avec lesquels vous interagissez dans Messages, Mail et même les apps tierces ainsi que les métadonnées associées à ces conversations ; accès complet au carnet d’adresses de l’appareil (sous iOS 14 seulement).

Apple a eu l’information plusieurs mois avant la sortie d’iOS 15 et le programme de bug devrait justement servir à corriger ces failles plus rapidement. Sans même parler de reconnaissance ou de rémunération, comment peut-on expliquer que plus de six mois après avoir obtenu l’information de la part d’un chercheur en sécurité, ces failles soient toujours présentes ?

L’entreprise n’a jamais aimé ce programme, on le sent bien à chaque témoignage de ce type. En théorie, il existe pour attirer les chercheurs en sécurité dont ces failles peuvent être un gagne-pain, pour éviter qu’ils ne les vendent aux « mauvais » acteurs, comme NSO Group qui est revenu sur le devant de la scène cet été avec Pegasus. En pratique, Apple ne prend même pas la peine de corriger les failles et quand elle le fait, elle rechigne à ouvrir le porte-monnaie ou même à simplement remercier publiquement le responsable.

La firme la plus riche au monde refuse toujours de payer des sommes dérisoires par rapport à ce qu’elle dispose dans ses coffres. Ou quand elle paye, c’est une fraction de ce qu’elle devrait : un développeur qui a trouvé une faille corrigée avec macOS 11.3 n’a obtenu que 5 000 $ sur les 100 000 promis à la base.

Comme souvent, la mauvaise publicité générée par la publication des trois failles restantes devrait inciter Apple à les corriger au plus vite. Tant mieux pour les utilisateurs, mais le message envoyé aux chercheurs en sécurité est encore une fois lamentable. Espérons que les changements promis au début du mois arriveront vite…

Apple va bonifier son bug bounty pour attirer des chercheurs en sécurité pas très enthousiastes

Apple va bonifier son bug bounty pour attirer des chercheurs en sécurité pas très enthousiastes

Source : 9To5 Mac

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Asahi Linux lance des jeux AAA sur les Mac Apple Silicon, parfois mieux que macOS

10/10/2024 à 20:00

• 15


Global Police Summit : les conférences spécialisées d'Apple pour les forces de l'ordre

10/10/2024 à 18:30

• 3


Une faille dans CUPS, la technologie d'impression d'Apple, très dangereuse dans de nombreux UNIX… sauf ceux d'Apple

10/10/2024 à 16:15

• 14


Découvrez les détails de la connexion Wi-Fi de votre iPhone grâce à ce raccourci iOS

10/10/2024 à 15:00


Adobe prépare un outil gratuit pour améliorer la traçabilité des fichiers

10/10/2024 à 12:30

• 2


L’application X plante sur Mac

10/10/2024 à 11:19

• 24


Fibre Orange et Sosh : des débits plus rapides sans changement de prix

10/10/2024 à 09:54

• 95


Quel moteur de recherche utilisez-vous ?

10/10/2024 à 09:00

• 98


Microsoft Office à moins de 30 € pour Mac ou PC, c'est maintenant !📍

10/10/2024 à 08:55


Kernel Panic : l'Apple Watch Ultra est-elle encore dans la course ?

10/10/2024 à 08:00

• 24


Dernières heures de promos Amazon Prime : AirPods Pro 2, SSD, Magic Mouse…

09/10/2024 à 23:55

• 11


Dan Riccio, responsable de la branche Vision, prend sa retraite

09/10/2024 à 21:48

• 24


Le .io va-t-il disparaître d’Internet ?

09/10/2024 à 21:00

• 21


Photomator va bientôt muscler son gestionnaire de photos

09/10/2024 à 18:30

• 15


La fonction recopie de l'iPhone est temporairement indésirable en entreprise

09/10/2024 à 17:15

• 62


Alarmo : Nintendo lance un réveil musical interactif

09/10/2024 à 16:37