La réputation du programme de chasse aux bugs (bug bounty) d'Apple n'est guère fameuse auprès de la communauté des chercheurs en sécurité : peu ou pas de communication de la part de l'entreprise, opacité des primes, une considération pour le travail des white hat proche du néant absolu…
On en a eu une démonstration édifiante cet été, avec le témoignage de Nicolas Brunner qui s'est fait bouler par le constructeur malgré la découverte d'une vulnérabilité qui aurait dû permettre au chercheur d'empocher une prime de 50 000 $. Pas de quoi inciter à travailler pour le compte d'Apple…
Un (mauvais) retour d'expérience sur le programme de primes de sécurité d'Apple
« Quand nous faisons des erreurs, nous travaillons dur pour les corriger rapidement, et nous apprenons en améliorant le programme », assure Ivan Krstić au Washington Post, interrogé sur cet exemple particulier. Le responsable d'Apple en charge de la sécurité de l'ingénierie et de l'architecture annonce également que le constructeur va lancer de nouvelles récompenses afin de pousser les chercheurs à participer à son bug bounty.
Krstić ajoute : « Nous cherchons toujours de nouveaux moyens pour proposer des outils de recherche encore meilleurs qui répondent au modèle de sécurité rigoureux de notre plateforme ». En parallèle, Apple s'attache à accélérer le temps de traitement et à améliorer sa communication avec la communauté. Mais fidèle à sa culture du secret, l'entreprise n'a pas voulu confirmer l'embauche d'un nouveau patron pour le programme de chasse aux failles de sécurité… Il aura pourtant comme mission de le réformer complètement. Il y a du boulot.
Le Washington Post relate plusieurs exemples du peu d'intérêt manifesté par Apple pour les chercheurs qui jouent le jeu. Il y a eu le cas Brunner, mais aussi celui de Cedric Owens qui a débusqué une vulnérabilité dans macOS en début d'année, pour laquelle il aurait dû recevoir 100 000 $. La faille a été corrigée avec macOS 11.3, mais le constructeur s'est contenté de lui verser 5 000 $ seulement, bien que la découverte corresponde à une prime plus élevée.
macOS 11.3 bouche une vulnérabilité qui contourne les mécanismes de sécurité du Mac
Malgré les protestations d'Owen, Apple n'a pas voulu reconsidérer le montant de la prime. Le chercheur, dépité, continuera de prévenir le constructeur s'il tombe sur des vulnérabilités, mais il est forcément déçu. D'autres se seraient tournés vers le marché gris où de telles failles sont bien mieux rémunérées, et qui permettent à des entreprises comme NSO de vendre des outils de surveillance à la Pegasus.
Ivan Krstić rappelle qu'Apple a doublé la valeur des primes l'an dernier, et le cadre explique que l'entreprise verse un montant par prime en moyenne plus élevé que le reste de l'industrie. Il n'empêche : en 2020, Apple a dépensé 3,7 millions de dollars dans le cadre de son bug bounty, contre 6,7 millions pour Google et 13,6 millions pour Microsoft (entre juillet 2020 et juillet 2021). Krstić précise que ce montant va augmenter en 2021.
Apple ouvre son bug bounty à tous les chercheurs en sécurité