Ouvrir le menu principal

MacGeneration

Recherche

Apple traine toujours autant des pieds pour récompenser les chercheurs en sécurité

Nicolas Furno

vendredi 24 septembre 2021 à 16:35 • 50

AAPL

Apple dispose d’un programme qui récompense les chercheurs en sécurité qui signalent à l’entreprise les failles découvertes dans ses systèmes d’exploitation. C’est une pratique courante dans l’industrie, mais la firme de Cupertino a mis du temps pour s’y mettre et depuis l’ouverture de ce « bug bounty » courant 2016, les retours sont plus souvent négatifs que positifs.

Pendant l’été, c’est un développeur suisse qui faisait part de son mécontentement suite à la découverte d’une faille. Signalée immédiatement à Apple, la faille a été corrigée six mois plus tard sans que le constructeur ne donne de signe de vie entre les deux. Et quand le développeur a voulu obtenir la rémunération promise par le programme, il a reçu une fin de non recevoir et le constructeur ne l’a jamais payé.

Illustration illusionofchaos

Cette fois, c’est un chercheur en sécurité russe qui se plaint du traitement d’Apple. Celui qui se fait appeler illusionofchaos raconte ses mésaventures sur le site Habr. Il a découvert quatre failles de sécurité « 0-days », des vulnérabilités qui n’étaient pas connues jusque-là, et les a signalées à Apple entre le 10 mars et le 4 mai 2021. L’entreprise a corrigé une de ces failles dans iOS 14.7, mais les trois autres sont encore présentes sous iOS 15.

Depuis le départ, il n’a reçu qu’une sorte d’accusé de réception de la part d’Apple. Quand iOS 14.7 est sortie, la faille corrigée n’a pas été mentionnée par l’entreprise, alors que c’est pourtant la pratique commune. Le chercheur en sécurité s’en est plaint et il a obtenu des excuses, avec la précision que les mentions arriveraient plus tard. Plusieurs mises à jour de sécurité sont sorties depuis et Apple n’a jamais reconnu son travail.

Face aux silences de l’entreprise, il a publié des preuves de concept pour toutes les failles découvertes, y compris celles qui existent encore sous iOS 15. Leur gravité varie, mais la plus grosse permet d’accéder à des données sensibles : e-mail et nom complet du compte iCloud de l’appareil ; accès complet à la base de données qui contient la liste de tous les contacts avec lesquels vous interagissez dans Messages, Mail et même les apps tierces ainsi que les métadonnées associées à ces conversations ; accès complet au carnet d’adresses de l’appareil (sous iOS 14 seulement).

Apple a eu l’information plusieurs mois avant la sortie d’iOS 15 et le programme de bug devrait justement servir à corriger ces failles plus rapidement. Sans même parler de reconnaissance ou de rémunération, comment peut-on expliquer que plus de six mois après avoir obtenu l’information de la part d’un chercheur en sécurité, ces failles soient toujours présentes ?

L’entreprise n’a jamais aimé ce programme, on le sent bien à chaque témoignage de ce type. En théorie, il existe pour attirer les chercheurs en sécurité dont ces failles peuvent être un gagne-pain, pour éviter qu’ils ne les vendent aux « mauvais » acteurs, comme NSO Group qui est revenu sur le devant de la scène cet été avec Pegasus. En pratique, Apple ne prend même pas la peine de corriger les failles et quand elle le fait, elle rechigne à ouvrir le porte-monnaie ou même à simplement remercier publiquement le responsable.

La firme la plus riche au monde refuse toujours de payer des sommes dérisoires par rapport à ce qu’elle dispose dans ses coffres. Ou quand elle paye, c’est une fraction de ce qu’elle devrait : un développeur qui a trouvé une faille corrigée avec macOS 11.3 n’a obtenu que 5 000 $ sur les 100 000 promis à la base.

Comme souvent, la mauvaise publicité générée par la publication des trois failles restantes devrait inciter Apple à les corriger au plus vite. Tant mieux pour les utilisateurs, mais le message envoyé aux chercheurs en sécurité est encore une fois lamentable. Espérons que les changements promis au début du mois arriveront vite…

Apple va bonifier son bug bounty pour attirer des chercheurs en sécurité pas très enthousiastes

Apple va bonifier son bug bounty pour attirer des chercheurs en sécurité pas très enthousiastes

Source :

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Apple Intelligence arrive en France : toutes les nouvelles fonctions pour votre iPhone et votre Mac

19:27

• 36


macOS 15.4 est disponible avec Apple Intelligence et les catégories dans Mail

19:12

• 6


Adobe Substance 3D Painter abandonne les Mac Intel

18:30

• 2


Ventes flash : un SSD externe 4 To autour de 200 € et d'autres bons plans sur le stockage

18:23

• 29


Sauvegardez vos données avant qu’il ne soit trop tard

17:30

• 22


Il va devenir de plus en plus compliqué de configurer Windows 11 sans compte Microsoft

17:00

• 45


Fibre : Bouygues Telecom passe son Wi-Fi à la vitesse supérieure… ainsi que ses prix

16:00

• 32


Comme prévu, l’ADSL est coupé aujourd’hui dans le centre-ville de Rennes

14:17

• 49


Encadrement du pistage : Apple écope d’une amende de 150 millions d’euros pour abus de position dominante

12:46

• 53


Promo : le Mac mini M4 avec 512 Go de stockage à 812 € au lieu de 949

11:28

• 9


Guillaume Gete organise un séminaire de deux jours à Paris pour les gestionnaires de parcs Apple

08:17

• 12


Synchronisez et sécurisez vos appareils Apple avec QNAP (Qsync & MyQNAPcloud Storage)📍

08:00


iOS 18.4 : Google Maps peut remplacer Plans comme app par défaut

07:28

• 62


L’app santé dopée à l’IA et les prochains produits M5 : la semaine Apple

30/03/2025 à 20:00

• 44


Faux mails : le guide pour sécuriser vos données 📍

30/03/2025 à 11:47


Sauvegarde en ligne : peut-on trouver mieux que Backblaze en 2025 ?

30/03/2025 à 10:00

• 52