Cet été, Apple portait plainte contre Corellium, une entreprise qui a mis au point un logiciel de virtualisation d’iOS. Très populaire chez les chasseurs de bugs et de failles de sécurité, cette solution avait notamment comme atout d’être plus accessible que de se fournir en iPhone « dev-fused » sur le marché gris.
Ces appareils que l’on ne peut trouver dans le commerce intègrent des logiciels spéciaux utilisés par des employés d’Apple à des fins de test. Les restrictions de sécurité y sont allégées, ce qui permet de pénétrer plus facilement dans les arcanes du système pour y débusquer des vulnérabilités (lire : Apple accuse Corellium de virtualiser iOS illégalement).
C’est maintenant au tour de la défense d’avancer ses arguments, consultés par Motherboard. En substance, Corellium explique que son service de virtualisation sécurise l’iPhone : il est plus facile pour les chercheurs d’identifier les failles et d’aider Apple à les corriger. Pour illustrer son propos, l’entreprise fournit une image avant/après assez parlante :
En théorie, le discours se tient mais Corellium n’a pas pour l’instant pu fournir la preuve que ses clients communiquent les failles à Apple. En revanche, l’un d’entre eux, Daniel Cuthbert le patron de la cybersécurité pour la banque Santander, explique que son utilisation de Corellium lui permet de tester les applications de l’établissement financier sur différents modèles d’iPhone et de versions d’iOS. « Apple fait plus de mal au monde des affaires qu’elle ne le croit », déplore t-il.
Par ailleurs, la défense de Corellium met en avant le fait qu’Apple connaît l’entreprise de longue date. Chris Wade, un des fondateurs, aurait été invité par le constructeur à participer à son programme rémunéré de chasse aux bugs (il avait trouvé sept vulnérabilités qui lui auraient valu 300 000 $, mais il n’a pas été payé). De même, Apple aurait cherché à acheter Corellium, sans succès.
Apple a annoncé début août la mise en place d’un nouveau programme de bug bounty élargi à toutes ses plateformes — dont macOS —, avec une bonification des primes et la distribution d’iPhone « dev-fused » à des chercheurs triés sur le volet.
