L’été dernier, Apple lançait un programme de chasse aux failles et aux bugs (bug bounty) pour iOS et macOS ouvert à une poignée de bidouilleurs triés sur le volet, le tout assorti de récompenses sonnantes et trébuchantes pour les trouvailles. Pratiquement un an plus tard, Motherboard fait le point sur cette initiative qui, pour le moment, est loin de remplir ses objectifs.
Sur iOS, les failles sont plus dures à dénicher qu’ailleurs, Apple ayant serré la vis à la sécurité du système depuis ses tout débuts. Ce qui est rare étant cher, les chasseurs de failles sans scrupules préfèrent vendre leurs découvertes à des sociétés qui paient mieux qu’Apple. Les primes reversées par le constructeur peuvent paraître très élevées aux yeux des profanes, mais dans les faits d’autres entreprises paient beaucoup mieux.
La tentation est grande d’aller voir ailleurs, là où l’herbe est plus verte. Zerodium est ainsi prêt à débourser jusqu’à 1,5 million de dollars pour une méthode permettant de jailbreaker l’iPhone. Chez Exodus Intelligence, les chèques peuvent aller jusqu’à 500 000 $ pour une faille dans iOS. Ces entreprises revendent ensuite ces trouvailles à des sociétés pour « protéger leurs réseaux » ou encore à des agences de renseignement.
« Si vous faites cela uniquement pour l’argent, vous ne donnerez pas vos bugs à Apple directement », se désole Nikias Bassen, un chercheur en sécurité pour Zimperium, qui a été admis dans le programme de la Pomme l’an dernier. Les failles de l’iPhone ont « trop de valeur pour les donner à Apple », regrette Patrick Wardle, un ancien hacker de la NSA lui aussi enrôlé dans le bug bounty du constructeur.
La dizaine de chasseurs de vulnérabilités contactés par le site sont formels : aucun d’entre eux n’a rapporté de bug à Apple. Pourtant, la Pomme a été aux petits soins avec son équipe de chercheurs ; en septembre dernier, une réunion a été organisée à Cupertino pour faire connaissance, Craig Federighi ayant même passé une tête.
Mais en bout de course, tout revient à l’argent. iOS est un système complexe et fermé, à tel point que même les 200 000 $ ne couvrent pas nécessairement les frais d’investigation. D’ailleurs, pour trouver de nouvelles failles, il faut souvent en passer par… d’autres failles qu’Apple n’a pas bouchées, ce qui ajoute encore à la complexité de l’exercice. C’est pourquoi certains préfèrent conserver leurs découvertes, ce qui leur permet de poursuivre la chasse aux bugs. « Si je [donne] mes propres bugs, je ne serais plus capable de faire mes recherches », explique Luca Todesco, un jailbreaker bien connu.
Durant la réunion de septembre dernier, les chasseurs avaient demandé à Apple des iPhone exempts de certaines mesures de sécurité, l’objectif étant de faciliter leur travail. Mais le constructeur n’a pas voulu fournir ces appareils, ce qui n’arrange pas l’attractivité du programme de bugs.
