Apple dispose d’un programme qui récompense les chercheurs en sécurité qui signalent à l’entreprise les failles découvertes dans ses systèmes d’exploitation. C’est une pratique courante dans l’industrie, mais la firme de Cupertino a mis du temps pour s’y mettre et depuis l’ouverture de ce « bug bounty » courant 2016, les retours sont plus souvent négatifs que positifs.

Pendant l’été, c’est un développeur suisse qui faisait part de son mécontentement suite à la découverte d’une faille. Signalée immédiatement à Apple, la faille a été corrigée six mois plus tard sans que le constructeur ne donne de signe de vie entre les deux. Et quand le développeur a voulu obtenir la rémunération promise par le programme, il a reçu une fin de non recevoir et le constructeur ne l’a jamais payé.

Cette fois, c’est un chercheur en sécurité russe qui se plaint du traitement d’Apple. Celui qui se fait appeler illusionofchaos raconte ses mésaventures sur le site Habr. Il a découvert quatre failles de sécurité « 0-days », des vulnérabilités qui n’étaient pas connues jusque-là, et les a signalées à Apple entre le 10 mars et le 4 mai 2021. L’entreprise a corrigé une de ces failles dans iOS 14.7, mais les trois autres sont encore présentes sous iOS 15.

Depuis le départ, il n’a reçu qu’une sorte d’accusé de réception de la part d’Apple. Quand iOS 14.7 est sortie, la faille corrigée n’a pas été mentionnée par l’entreprise, alors que c’est pourtant la pratique commune. Le chercheur en sécurité s’en est plaint et il a obtenu des excuses, avec la précision que les mentions arriveraient plus tard. Plusieurs mises à jour de sécurité sont sorties depuis et Apple n’a jamais reconnu son travail.

Face aux silences de l’entreprise, il a publié des preuves de concept pour toutes les failles découvertes, y compris celles qui existent encore sous iOS 15. Leur gravité varie, mais la plus grosse permet d’accéder à des données sensibles : e-mail et nom complet du compte iCloud de l’appareil ; accès complet à la base de données qui contient la liste de tous les contacts avec lesquels vous interagissez dans Messages, Mail et même les apps tierces ainsi que les métadonnées associées à ces conversations ; accès complet au carnet d’adresses de l’appareil (sous iOS 14 seulement).

Apple a eu l’information plusieurs mois avant la sortie d’iOS 15 et le programme de bug devrait justement servir à corriger ces failles plus rapidement. Sans même parler de reconnaissance ou de rémunération, comment peut-on expliquer que plus de six mois après avoir obtenu l’information de la part d’un chercheur en sécurité, ces failles soient toujours présentes ?

L’entreprise n’a jamais aimé ce programme, on le sent bien à chaque témoignage de ce type. En théorie, il existe pour attirer les chercheurs en sécurité dont ces failles peuvent être un gagne-pain, pour éviter qu’ils ne les vendent aux « mauvais » acteurs, comme NSO Group qui est revenu sur le devant de la scène cet été avec Pegasus. En pratique, Apple ne prend même pas la peine de corriger les failles et quand elle le fait, elle rechigne à ouvrir le porte-monnaie ou même à simplement remercier publiquement le responsable.

La firme la plus riche au monde refuse toujours de payer des sommes dérisoires par rapport à ce qu’elle dispose dans ses coffres. Ou quand elle paye, c’est une fraction de ce qu’elle devrait : un développeur qui a trouvé une faille corrigée avec macOS 11.3 n’a obtenu que 5 000 $ sur les 100 000 promis à la base.

Comme souvent, la mauvaise publicité générée par la publication des trois failles restantes devrait inciter Apple à les corriger au plus vite. Tant mieux pour les utilisateurs, mais le message envoyé aux chercheurs en sécurité est encore une fois lamentable. Espérons que les changements promis au début du mois arriveront vite…