Le découvreur de la faille du Trousseau d'accès macOS a cédé : il livre les détails à Apple

Mickaël Bazoge |

Linuz Henze a fini par céder : le chercheur en sécurité va donner à Apple les détails d’une faille de sécurité qui touche le trousseau d’accès de macOS. Le découvreur de la vulnérabilité estimait que le constructeur ne proposait aucun programme de « bug bounty » pour le Mac, au contraire d’iOS. C’est pourquoi il s’est contenté de communiquer autour de la brèche sans rien préciser à Apple, laissant ainsi à l’air libre une faille exploitable par les malandrins (lire : Apple ne sait rien de cette faille de sécurité touchant le trousseau d’accès de macOS).

Mardi, Linuz a reçu un courriel d’Apple lui demandant d’envoyer les informations en sa possession sur la vulnérabilité. Il se serait immédiatement exécuté, à une condition : qu’un responsable de l’entreprise lui explique pourquoi Apple n’a pas mis en place de programme de chasse aux bugs pour macOS.

Malgré l’absence de réponse de la part du constructeur, le chercheur a fini par soumettre sa découverte « gratuitement ». La vulnérabilité est « très critique », et la sécurité des utilisateurs macOS est « très importante » à ses yeux. Il est probable qu’il soit remercié dans les notes de version d’une future mise à jour de sécurité du système.

Après la rocambolesque cagade de la faille FaceTime, Apple a promis de revoir le processus de réception et de remontée des bugs. Espérons que macOS fasse partie de la réflexion.

avatar jnthierry | 

C’est quand même affligeant qu’Apple soit aussi pingre avec les récompenses liées à la découverte de failles...
Et, hors sujet, bravo pour le « cagade  » de fin d’article ! :)

avatar frankm | 

@jnthierry

Bah non puisque le gars a publié gratuitement la faille. Apple n’avait plus qu’à se servir gratuitement.
Le découvreur s’est fait avoir comme un bleu

avatar Marco787 | 

@ frankm

"Bah non puisque le gars a publié gratuitement la faille"

Pas du tout. La personne n'a rien publié. Sinon pourquoi Apple lui a demandé d'envoyer les détails ?

avatar cdp86 | 

Les mecs n’ont toujours rien compris sur la remontée de bugs, pitoyable...

Heureusement que c’est une start-up de deux ans.. ah on me dit dans l’oreillette que non en fait...

avatar killabling | 

Gratuitement..lool..mais bien sur!!!

avatar Yohmi | 

@killabling
Vu que le programme actuel d’Apple c’est dans les 25 000 à 50 000 $, c’est une notion assez relative de la gratuité ?

avatar Marco787 | 

@ killabling
@ Yohmi

Où avez-vous que cette personne recevrait de l'argent ?

avatar Yohmi | 

@Marco787

Nulle part, c’est le programme de récompense d’Apple. Il est jugé insuffisant (montants jugés beaucoup trop bas donc peu de gens passent par là) mais il existe. Ou alors j’ai mal compris ☺️

avatar Marco787 | 

@ Yohmi

L'article indique (et d'autres sources le confirment) que pour macOS, aucune récompense financière n'est attribuée (contrairement à iOS).

L'article dit : "ne proposait aucun programme de « bug bounty » pour le Mac, au contraire d’iOS."

avatar alfatech | 

@killabling

"Gratuitement..lool..mais bien sur!!!"

J'y crois pas non plus......  a sorti le chéquier.

avatar naas | 

Un cagade we trust !
Très bon ?

avatar pagaupa | 

Du Apple tout craché. Il a été con.
J’ai de moins en moins d’atomes crochus avec cette boite...

avatar Benitochoco | 

@pagaupa

Apple veut juste ton fric, c'est bien tu deviens responsable :-)

avatar Biking Dutch Man | 

Comme disait Coluche, un trousseau, deux trous sales, en tout cas il s’est bien fait mettre le pauvre!

avatar Rage68 | 

Donner les infos gratuitement? (en échange d’un énorme bon d’achat!!!)?

avatar 0MiguelAnge0 | 

@Rage68

Et d’une clause de non disclosure...

avatar lillegubben | 

Franchement Apple n'est plus une société qui impose le respect, optimisation fiscale en Europe, l'absence de récompenses pour les débusceurs de bugs, l'absence de prime Macron pour les employés des Apple Store, cela en fait une entreprise arrogante qui méprise l'humain au profit de argent. Je les préférais nettement quand ils étaient en difficultés quoique ils n'ont jamais été humbles.

avatar damrtom | 

Les employés des Apple Store n'ont pas eu de prime en effet, mais ils ont tous été augmenté. L'augmentation, ils l'ont pour la durée totale de leur contrat chez Apple. La prime, on va être tous un moment sans en avoir une de la part de nos employeurs ("ah mais vous comprenez, sans exonération fiscale, les primes, ça coûte trop cher...")

avatar frankm | 

@damrtom

Normalement augmenter ses employés coûte plus cher à la fin que de donner une prime. Ça a du être bien réfléchi

avatar flux_capacitor | 

Ça c'est quand la majorité de tes employés restent dans l'entreprise pour y faire carrière. En Apple Sore ils parient sur le turnover. Les salaires des jeunes (18/25a) sont bien moins élevés à l'embauche, et ils ne restent pas. Dans le même temps, les nouveaux contrats ont peu à peu été rabotés au fil des ans et surtout l'année dernière (notamment avec la disparition des deux jours consécutifs de repos et la disparition du statut cadre de certains postes clés).

avatar Marco787 | 

@ damrtom

A combien s'élève l'augmentation de salaire au juste ?

avatar en ballade | 

L’éthique de ce gars a été plus forte que la pingrerie de Appl€. Respect

avatar MerkoRiko | 

Comme dirait l'autre, ils ont des pièges à loups/ours dans leurs poches...ce qui m'énerve le plus chez eux, c'est cette propension à distribuer leurs vérités bien-pensantes.
A ceux qui leur donnent leurs données de santé, je conseillerais de ne pas le faire, parce qu'un jour (si ce n'est déjà fait), un actionnaire va avoir la sympathique idée de vendre vos données aux assurances santé privées, à moins que ces boites philanthropiques ne soient déjà elles-memes actionnaires de cette pomme pourrissante...

avatar macam | 

Des oursins dans les poches. ^^
Quoique avec Apple on peut effectivement parler carrément de piège à ours.
Les clients d'Apple devraient en faire autant parce qu'Apple, pour ce qui est de faire les poches de ses clients...

avatar comboss | 

C’est immonde
J’ai été victime 4 fois du bug trousseau et les personnes avait à chaque fois accès à toutes les data

Apple n’a rien su faire et à clos les dossiers à chaque fois

Cette boite qui se dit proche des données client me dégoûte

Pages

CONNEXION UTILISATEUR