Ouvrir le menu principal

MacGeneration

Recherche

Le programme de chasse aux bugs d'Apple fait un flop

Mickaël Bazoge

vendredi 07 juillet 2017 à 08:50 • 26

AAPL

L’été dernier, Apple lançait un programme de chasse aux failles et aux bugs (bug bounty) pour iOS et macOS ouvert à une poignée de bidouilleurs triés sur le volet, le tout assorti de récompenses sonnantes et trébuchantes pour les trouvailles. Pratiquement un an plus tard, Motherboard fait le point sur cette initiative qui, pour le moment, est loin de remplir ses objectifs.

Sur iOS, les failles sont plus dures à dénicher qu’ailleurs, Apple ayant serré la vis à la sécurité du système depuis ses tout débuts. Ce qui est rare étant cher, les chasseurs de failles sans scrupules préfèrent vendre leurs découvertes à des sociétés qui paient mieux qu’Apple. Les primes reversées par le constructeur peuvent paraître très élevées aux yeux des profanes, mais dans les faits d’autres entreprises paient beaucoup mieux.

Les primes offertes par Apple.

La tentation est grande d’aller voir ailleurs, là où l’herbe est plus verte. Zerodium est ainsi prêt à débourser jusqu’à 1,5 million de dollars pour une méthode permettant de jailbreaker l’iPhone. Chez Exodus Intelligence, les chèques peuvent aller jusqu’à 500 000 $ pour une faille dans iOS. Ces entreprises revendent ensuite ces trouvailles à des sociétés pour « protéger leurs réseaux » ou encore à des agences de renseignement.

Le spécialiste en sécurité Jonathan Zdziarski, qui a rejoint Apple, avait posté ce sondage sur Twitter avant de supprimer son compte.

« Si vous faites cela uniquement pour l’argent, vous ne donnerez pas vos bugs à Apple directement », se désole Nikias Bassen, un chercheur en sécurité pour Zimperium, qui a été admis dans le programme de la Pomme l’an dernier. Les failles de l’iPhone ont « trop de valeur pour les donner à Apple », regrette Patrick Wardle, un ancien hacker de la NSA lui aussi enrôlé dans le bug bounty du constructeur.

La dizaine de chasseurs de vulnérabilités contactés par le site sont formels : aucun d’entre eux n’a rapporté de bug à Apple. Pourtant, la Pomme a été aux petits soins avec son équipe de chercheurs ; en septembre dernier, une réunion a été organisée à Cupertino pour faire connaissance, Craig Federighi ayant même passé une tête.

Mais en bout de course, tout revient à l’argent. iOS est un système complexe et fermé, à tel point que même les 200 000 $ ne couvrent pas nécessairement les frais d’investigation. D’ailleurs, pour trouver de nouvelles failles, il faut souvent en passer par… d’autres failles qu’Apple n’a pas bouchées, ce qui ajoute encore à la complexité de l’exercice. C’est pourquoi certains préfèrent conserver leurs découvertes, ce qui leur permet de poursuivre la chasse aux bugs. « Si je [donne] mes propres bugs, je ne serais plus capable de faire mes recherches », explique Luca Todesco, un jailbreaker bien connu.

Durant la réunion de septembre dernier, les chasseurs avaient demandé à Apple des iPhone exempts de certaines mesures de sécurité, l’objectif étant de faciliter leur travail. Mais le constructeur n’a pas voulu fournir ces appareils, ce qui n’arrange pas l’attractivité du programme de bugs.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

DEVONthink 4 fait une place pour les intelligences artificielles génératives

08:00

• 2


Concours : un NAS Qnap TS-233 équipé de 2 disques WD Red 6 To à gagner !

05/04/2025 à 13:00

• 623


Nintendo retarde les précommandes de la Switch 2 aux États-Unis, à cause de Donald Trump

05/04/2025 à 10:51

• 62


Silence : une application pour bloquer les appels indésirables sans abonnement

05/04/2025 à 10:47

• 99


Sortie de veille : Apple Intelligence finalement dispo, l’attente récompensée ?

05/04/2025 à 08:00

• 12


L’administration Trump aurait-elle utilisé l’IA pour créer la formule des nouvelles taxes ?

04/04/2025 à 22:30

• 45


Promo : l'écran 4K LG UltraFine 32 avec une colonne ERGO est à 423 € (-250 €)

04/04/2025 à 22:30

• 30


Donald Trump accorde un délai supplémentaire de 75 jours à TikTok

04/04/2025 à 21:45

• 17


N'attendez pas Linux sur les M4 de sitôt : c'est visiblement douloureusement compliqué

04/04/2025 à 18:30

• 35


Microsoft a 50 ans

04/04/2025 à 17:39

• 50


Apple déploie l'audio spatial en Dolby Atmos sous Windows (mais il faut payer)

04/04/2025 à 17:00

• 12


MacBook Air : nouvelle promo sur le M4, le M2 encore au tarif canon de 899 €

04/04/2025 à 15:48

• 9


Pages ne sait plus publier un livre directement sur Apple Books

04/04/2025 à 14:45

• 9


Microsoft vend son mini PC dans le cloud, pour Windows 365

04/04/2025 à 13:15

• 23


Le SSD USB4 Corsair EX400U, parfait pour les Mac et les iPhone, en promotion

04/04/2025 à 11:45

• 11


Starlink passe à 29 €/mois avec une connexion moins prioritaire

04/04/2025 à 10:30

• 114