Apple va bonifier son bug bounty pour attirer des chercheurs en sécurité pas très enthousiastes
La réputation du programme de chasse aux bugs (bug bounty) d'Apple n'est guère fameuse auprès de la communauté des chercheurs en sécurité : peu ou pas de communication de la part de l'entreprise, opacité des primes, une considération pour le travail des white hat proche du néant absolu…
On en a eu une démonstration édifiante cet été, avec le témoignage de Nicolas Brunner qui s'est fait bouler par le constructeur malgré la découverte d'une vulnérabilité qui aurait dû permettre au chercheur d'empocher une prime de 50 000 $. Pas de quoi inciter à travailler pour le compte d'Apple…
Un (mauvais) retour d'expérience sur le programme de primes de sécurité d'Apple
« Quand nous faisons des erreurs, nous travaillons dur pour les corriger rapidement, et nous apprenons en améliorant le programme », assure Ivan Krstić au Washington Post, interrogé sur cet exemple particulier. Le responsable d'Apple en charge de la sécurité de l'ingénierie et de l'architecture annonce également que le constructeur va lancer de nouvelles récompenses afin de pousser les chercheurs à participer à son bug bounty.
Krstić ajoute : « Nous cherchons toujours de nouveaux moyens pour proposer des outils de recherche encore meilleurs qui répondent au modèle de sécurité rigoureux de notre plateforme ». En parallèle, Apple s'attache à accélérer le temps de traitement et à améliorer sa communication avec la communauté. Mais fidèle à sa culture du secret, l'entreprise n'a pas voulu confirmer l'embauche d'un nouveau patron pour le programme de chasse aux failles de sécurité… Il aura pourtant comme mission de le réformer complètement. Il y a du boulot.
Le Washington Post relate plusieurs exemples du peu d'intérêt manifesté par Apple pour les chercheurs qui jouent le jeu. Il y a eu le cas Brunner, mais aussi celui de Cedric Owens qui a débusqué une vulnérabilité dans macOS en début d'année, pour laquelle il aurait dû recevoir 100 000 $. La faille a été corrigée avec macOS 11.3, mais le constructeur s'est contenté de lui verser 5 000 $ seulement, bien que la découverte corresponde à une prime plus élevée.
macOS 11.3 bouche une vulnérabilité qui contourne les mécanismes de sécurité du Mac
Malgré les protestations d'Owen, Apple n'a pas voulu reconsidérer le montant de la prime. Le chercheur, dépité, continuera de prévenir le constructeur s'il tombe sur des vulnérabilités, mais il est forcément déçu. D'autres se seraient tournés vers le marché gris où de telles failles sont bien mieux rémunérées, et qui permettent à des entreprises comme NSO de vendre des outils de surveillance à la Pegasus.
Ivan Krstić rappelle qu'Apple a doublé la valeur des primes l'an dernier, et le cadre explique que l'entreprise verse un montant par prime en moyenne plus élevé que le reste de l'industrie. Il n'empêche : en 2020, Apple a dépensé 3,7 millions de dollars dans le cadre de son bug bounty, contre 6,7 millions pour Google et 13,6 millions pour Microsoft (entre juillet 2020 et juillet 2021). Krstić précise que ce montant va augmenter en 2021.
Apple ouvre son bug bounty à tous les chercheurs en sécurité
Apple est une boîte riche à milliards
Elle place le respect de la vie privée et la sécurité en général en priorité
Mais, aucune reconnaissance (ou peu) pour les découvreurs de failles et autres lanceurs d’alerte 😒
@ Totoche31:
"Elle place le respect de la vie privée et la sécurité en général en priorité"
Selon le marketing, dans les faits, ils préfèrent empocher 15 milliards pour un moteur de recherche, plutôt que d'assurer la vie privée...
Une phrase plus juste serait:
"Elle place le respect de la vie privée et la sécurité en général en priorité, à l'exclusion d'une rentabilité accrue."
Apple est une entreprise parfaite qui ne commet aucune erreur et qui a donc du mal à le reconnaître.
@powergeek
Ça parait con mais c’est un peu l’image qu’elle renvoie avec sa manière de traiter les participants au big bounty.
Surtout que ça doit représenter un quart de goutte d’eau niveau budget ! C’est vraiment des radins quand même ! Ils ont en plus tout à y gagner a bien rémunérer la découverte de ces failles. Ils seront les premiers à se plaindre lors du prochain scandale de fuites de données sur leurs appareils. Bref on espère que ça va quand même bien bouger pour ce programme qui me semble essentiel à toute entreprise tech.
@ FabC1608:
Quand on y pense juste un peu, on remarque qu'Apple fait des choix "futuristes" mais qui sont toujours le fruit d'un compromis: On va dans un sens futuriste si ce sens permet une plus grosse rentabilité.
On peut prendre le tout USB-C des macbook, ou plus de 6 ans après leurs sortie, il faut toujours des adaptateurs (j'avais prédis qu'ils seraient obsolète les 2016 avant même que l'usb-c soit majoritaire sur les périphériques, on en est pas loin), c'est surtout l'abandon de royalties sur l'usb-A, sur le HDMI, sur les lecteur de carte SD et l'abandon de production du magsafe, sur des millions d'unité vendues cela en fait des $, on peut faire la même sur l'iPhone ou derrière le "on est une entreprise verte" le gain sur le fait de ne pas avoir de DAC digne de ce nom, sur le port jack, ne pas mettre de chargeur ou d'écouteur sur les centaines de millions d'exemplaire vendu cela en fait des Milliards d'économie....
Je serai très curieux d’avoir des éléments permettant de comprendre les raisons de cette politique 🤔
@YetOneOtherGit
Un énorme 🍈 visible depuis l'espace.
(plus sérieusement, moi aussi j'aimerais savoir comment ces conneries au même titre que les problèmes médiatisés avec l'AppStore peuvent survenir alors que ce n'est que du "bad buzz" qui ne répond à aucune logique vu de l'extérieur)
@Yohmi
"bad buzz"
D’une portée extrêmement relative même dans le microcosme 😉
@YetOneOtherGit
Il n'empêche, c'est nul, c'est tellement à l'opposé du discours et ça coûterait tellement peu d'y remédier.
@YetOneOtherGit
Ça dépend
Si on considère que pégasus n’aurait peut être pas existé si Apple rachetait les failles plus cher que NSO, le bad buzz qui aurait pu être évité aura été assez audible.
(Vous noterez l’emploi du conditionnel à moult reprise dans cette phrase)
@mne
"Ça dépend
Si on considère que pégasus n’aurait peut être pas existé si Apple rachetait les failles plus cher que NSO, le bad buzz qui aurait pu être évité aura été assez audible."
Tu surestimes de façon très conséquente l’impact de ce “bad buzz”
Tu ne vas pas constater le moindre effet sur les résultats d’Apple 😎
@ YetOneOtherGit:
"Tu ne vas pas constater le moindre effet sur les résultats d’Apple 😎"
Ah ben cela va être difficile de voir les effets d'un trucs qui ne c'est pas produit... Avec des "si", si Apple n'avait pas eu l'affaire des écoutes Siri/iphonepliable/batteriegate/etc peut-être bien qu'ils auraient 90% du marché... :)
@debione
"Ah ben cela va être difficile de voir les effets d'un trucs qui ne c'est pas produit... Avec des "si", si Apple n'avait pas eu l'affaire des écoutes Siri/iphonepliable/batteriegate/etc peut-être bien qu'ils auraient 90% du marché... :)"
La résilience et la grande immunité des majors à ces prétendus « scandales » est aujourd’hui bien documentée.
Il n’y a plus que des consommateurs énervés pour y voir le fer d’une justice divine qui fera rendre gorges aux infâmes entreprises qui exploitent les innocents consommateur.
C’est du business as usual 😎
@mne
"(Vous noterez l’emploi du conditionnel à moult reprise dans cette phrase)"
Il manque fortement sur l’impact du Bad Buzz qui est la clé de voûte 😉
On a tendance à surestimer incroyablement l’impact de ce type de chose sur l’activité des entreprises.
Souviens toi des Galaxy Note 7 explosif, impact absolument négligeable sur le business pour un bad buzz bien plus impressionnant et bien plus médiatisé. (J’avais été traité de tous les nom en essayant d’expliquer que contrairement à ce que certains fantasmaient ce serait pas dramatique pour Samsung)
@ YetOneOtherGit:
On ne peut exclure que cette affaire pèse encore maintenant, sans cette affaire peut-être que Samsung aurait perdu moins de part de marché face aux chinois... Hors ils en ont perdu, et on ne peut exclure que cette affaire pèse pour 0 dans cette histoire.
@debione
"On ne peut exclure que cette affaire pèse encore maintenant, sans cette affaire peut-être que Samsung aurait perdu moins de part de marché face aux chinois..."
Très discutable 😉
Oui cela se voit depuis des années qu’Apple est pingre sur un certain nombre de sujets. Et couplé au fait que les dirigeants ont beaucoup de mal à reconnaître des erreurs, ils ont du mal à présenter des excuses avec les actions correctives qui en découlent.
Apple n’est pas la seule entreprise à être ainsi mais quand on est numéro un mondial et que la rentabilité de l’entreprise est aussi forte cela fait tâche à l’image de marque. Et les tâches sont très très longues à disparaître.
Mon hypothèse est que leur image de marque est perçue de façon peu réaliste par le board. D’une part parce qu’il n’y a pas une réelle direction de communication qui pourrait creuser le sujet et avoir du poids. D’autre part la direction pense a tord qu’avoir une marque forte et reconnue suffit. Ils sous-estiment les signaux faibles, ils pensent aussi que la croissance efface les couacs et ils pensent peut-être aussi très naïvement que tout peut être rattrapable.
Apple paiera très cher d’avoir négligé par pingrerie certains de leurs clients, certains des développeurs, certains des supporters, partenaires ou contributeurs.
@fred33
"Oui cela se voit depuis des années qu’Apple est pingre sur un certain nombre de sujets."
Je serai assez surpris que la motivation de la position soit simplement la pingrerie 😉
@fred33
Entièrement d’accord, le pire c’est que si les rémunérations étaient cohérentes cela permettrait de créer une emulation parmi les chercheurs de faille alors qu’actuellement c’est l’exacte contraire
@fred33
"Apple paiera très cher"
Une antienne qui revient toujours quand une décision d’Apple ne plaît pas et qui semble vraiment avoir du mal à advenir alors qu’on l’entend sans cesse depuis des décennies 😉
@fred33
"Mon hypothèse est que leur image de marque est perçue de façon peu réaliste par le board. D’une part parce qu’il n’y a pas une réelle direction de communication qui pourrait creuser le sujet et avoir du poids. D’autre part la direction pense a tord qu’avoir une marque forte et reconnue suffit. Ils sous-estiment les signaux faibles, ils pensent aussi que la croissance efface les couacs et ils pensent peut-être aussi très naïvement que tout peut être rattrapable."
Hypothèse osée et très discutable sur bien des éléments de son étayage 😉
Je me fais toujours cette remarque : tout ce que fait cette entreprise, comme toutes les autres d’ailleurs, c’est de calculer le coût/bénéfice d’une décision.
Et là, quand je vois les « scandales » liés à la confidentialité, répercutés dans tous les journaux(car une mauvaise News sur Apple, ça fait vendre), je me dis qu’à chaque fois des gens n’achètent pas d’iPhone ou changent pour aller chez Android.
Sûrement pas beaucoup, mais sûrement beaucoup plus que ce chiffre de quelques millions de dollars de récompenses de bug.
Dépenser plus pour ce programme ne sera connu que par des initiés et non pas auprès du grand public (donc le grand public n’aura même pas conscience de ces failles), et il y aura moins de possibilité de faille donc de scandales potentiels.
Je n’arrive pas à comprendre le coût/bénéfice donc de récompenser si peu les chercheurs en sécurité…
@fap76
"Je n’arrive pas à comprendre le coût/bénéfice donc de récompenser si peu les chercheurs en sécurité…"
Rationnellement cela semble très étrange effectivement.
Peut-être que les responsable ne sont pas capables de défendre leur budget et sa raison d’être.
Cela peut sembler con, mais ça c’est déjà vu 😉
@YetOneOtherGit
Peut-être qu’ils ont un budget primes, mais aussi une prime importante si ce budget n’est pas cramé…
@DG33
"Peut-être qu’ils ont un budget primes, mais aussi une prime importante si ce budget n’est pas cramé…"
Ça ne tient pas ne serait-ce que parce que le montant des primes est public et que c’est justement ce montant qui est étonnement faible.
ios15 vas sortir, il faut débogguer
Il devient de plus en plus compliquer de maitriser totalement iOS. Un site orange publie même un petit livret tous les ans pour nous aider. Il est grand temps qu'Apple fasse une pause sur les nouvelles fonctions et mette tous ces ingénieurs, pendant un an, à recherche de failles et autre bugues.
Il parait que les erreurs de programmation sont inévitables, mais visiblement, quand on cherche on trouve.
@ 7X:
Mon père vient de s'acheter un Mini, il venait du 5c... Ben j'ai passé 2 heures pour l'aider à s'y retrouver, et encore il est encore perdu... Il ne m'aurait fallu pas plus de temps pour lui expliquer Android...
La simplicité Apple, c'est fini, c'est autant complexe qu'Android
Ça n’a rien à voir avec le bug bounty mais ça m’ouvert les yeux sur le centre d’intérêt primordial d’Apple. Suite à une panne sur le puce root et ayant le désir d’acquérir un mac book pro 16 pouces je fais estimer mon iMac de 2017 : 355 €. Combien vaut un iMac sur la refurb Apple ? Chacun peut se faire une idée du bénéfice réalisé au passage..
@popeye1
« ça m’ouvert les yeux sur le centre d’intérêt primordial d’Apple. «
Très fort.. t’arrives à te faire une idée du centre d’interêt primordial d’Apple sur une activité qui n’existe pas chez eux : l’achat de matériel d’occasion pour une revente après remise à neuf ! 👏
Le refurb c’est soit des invendus, soit des machines retournés par les utilisateurs moins de 15 jours après l’achat.
Apple a bien écorné son image à plusieurs égards depuis quelques mois...