Le découvreur de la faille du Trousseau d'accès macOS a cédé : il livre les détails à Apple
Linuz Henze a fini par céder : le chercheur en sécurité va donner à Apple les détails d’une faille de sécurité qui touche le trousseau d’accès de macOS. Le découvreur de la vulnérabilité estimait que le constructeur ne proposait aucun programme de « bug bounty » pour le Mac, au contraire d’iOS. C’est pourquoi il s’est contenté de communiquer autour de la brèche sans rien préciser à Apple, laissant ainsi à l’air libre une faille exploitable par les malandrins (lire : Apple ne sait rien de cette faille de sécurité touchant le trousseau d’accès de macOS).
Mardi, Linuz a reçu un courriel d’Apple lui demandant d’envoyer les informations en sa possession sur la vulnérabilité. Il se serait immédiatement exécuté, à une condition : qu’un responsable de l’entreprise lui explique pourquoi Apple n’a pas mis en place de programme de chasse aux bugs pour macOS.
Malgré l’absence de réponse de la part du constructeur, le chercheur a fini par soumettre sa découverte « gratuitement ». La vulnérabilité est « très critique », et la sécurité des utilisateurs macOS est « très importante » à ses yeux. Il est probable qu’il soit remercié dans les notes de version d’une future mise à jour de sécurité du système.
Après la rocambolesque cagade de la faille FaceTime, Apple a promis de revoir le processus de réception et de remontée des bugs. Espérons que macOS fasse partie de la réflexion.
C’est quand même affligeant qu’Apple soit aussi pingre avec les récompenses liées à la découverte de failles...
Et, hors sujet, bravo pour le « cagade » de fin d’article ! :)
@jnthierry
Bah non puisque le gars a publié gratuitement la faille. Apple n’avait plus qu’à se servir gratuitement.
Le découvreur s’est fait avoir comme un bleu
@ frankm
"Bah non puisque le gars a publié gratuitement la faille"
Pas du tout. La personne n'a rien publié. Sinon pourquoi Apple lui a demandé d'envoyer les détails ?
Les mecs n’ont toujours rien compris sur la remontée de bugs, pitoyable...
Heureusement que c’est une start-up de deux ans.. ah on me dit dans l’oreillette que non en fait...
Gratuitement..lool..mais bien sur!!!
@killabling
Vu que le programme actuel d’Apple c’est dans les 25 000 à 50 000 $, c’est une notion assez relative de la gratuité ?
@ killabling
@ Yohmi
Où avez-vous que cette personne recevrait de l'argent ?
@Marco787
Nulle part, c’est le programme de récompense d’Apple. Il est jugé insuffisant (montants jugés beaucoup trop bas donc peu de gens passent par là) mais il existe. Ou alors j’ai mal compris ☺️
@ Yohmi
L'article indique (et d'autres sources le confirment) que pour macOS, aucune récompense financière n'est attribuée (contrairement à iOS).
L'article dit : "ne proposait aucun programme de « bug bounty » pour le Mac, au contraire d’iOS."
@killabling
"Gratuitement..lool..mais bien sur!!!"
J'y crois pas non plus...... a sorti le chéquier.
Un cagade we trust !
Très bon ?
Du Apple tout craché. Il a été con.
J’ai de moins en moins d’atomes crochus avec cette boite...
@pagaupa
Apple veut juste ton fric, c'est bien tu deviens responsable :-)
Comme disait Coluche, un trousseau, deux trous sales, en tout cas il s’est bien fait mettre le pauvre!
Donner les infos gratuitement? (en échange d’un énorme bon d’achat!!!)?
@Rage68
Et d’une clause de non disclosure...
Franchement Apple n'est plus une société qui impose le respect, optimisation fiscale en Europe, l'absence de récompenses pour les débusceurs de bugs, l'absence de prime Macron pour les employés des Apple Store, cela en fait une entreprise arrogante qui méprise l'humain au profit de argent. Je les préférais nettement quand ils étaient en difficultés quoique ils n'ont jamais été humbles.
Les employés des Apple Store n'ont pas eu de prime en effet, mais ils ont tous été augmenté. L'augmentation, ils l'ont pour la durée totale de leur contrat chez Apple. La prime, on va être tous un moment sans en avoir une de la part de nos employeurs ("ah mais vous comprenez, sans exonération fiscale, les primes, ça coûte trop cher...")
@damrtom
Normalement augmenter ses employés coûte plus cher à la fin que de donner une prime. Ça a du être bien réfléchi
Ça c'est quand la majorité de tes employés restent dans l'entreprise pour y faire carrière. En Apple Sore ils parient sur le turnover. Les salaires des jeunes (18/25a) sont bien moins élevés à l'embauche, et ils ne restent pas. Dans le même temps, les nouveaux contrats ont peu à peu été rabotés au fil des ans et surtout l'année dernière (notamment avec la disparition des deux jours consécutifs de repos et la disparition du statut cadre de certains postes clés).
@ damrtom
A combien s'élève l'augmentation de salaire au juste ?
L’éthique de ce gars a été plus forte que la pingrerie de Appl€. Respect
Comme dirait l'autre, ils ont des pièges à loups/ours dans leurs poches...ce qui m'énerve le plus chez eux, c'est cette propension à distribuer leurs vérités bien-pensantes.
A ceux qui leur donnent leurs données de santé, je conseillerais de ne pas le faire, parce qu'un jour (si ce n'est déjà fait), un actionnaire va avoir la sympathique idée de vendre vos données aux assurances santé privées, à moins que ces boites philanthropiques ne soient déjà elles-memes actionnaires de cette pomme pourrissante...
Des oursins dans les poches. ^^
Quoique avec Apple on peut effectivement parler carrément de piège à ours.
Les clients d'Apple devraient en faire autant parce qu'Apple, pour ce qui est de faire les poches de ses clients...
C’est immonde
J’ai été victime 4 fois du bug trousseau et les personnes avait à chaque fois accès à toutes les data
Apple n’a rien su faire et à clos les dossiers à chaque fois
Cette boite qui se dit proche des données client me dégoûte
Pages