Linuz Henze a fini par céder : le chercheur en sécurité va donner à Apple les détails d’une faille de sécurité qui touche le trousseau d’accès de macOS. Le découvreur de la vulnérabilité estimait que le constructeur ne proposait aucun programme de « bug bounty » pour le Mac, au contraire d’iOS. C’est pourquoi il s’est contenté de communiquer autour de la brèche sans rien préciser à Apple, laissant ainsi à l’air libre une faille exploitable par les malandrins (lire : Apple ne sait rien de cette faille de sécurité touchant le trousseau d’accès de macOS).
Mardi, Linuz a reçu un courriel d’Apple lui demandant d’envoyer les informations en sa possession sur la vulnérabilité. Il se serait immédiatement exécuté, à une condition : qu’un responsable de l’entreprise lui explique pourquoi Apple n’a pas mis en place de programme de chasse aux bugs pour macOS.
Malgré l’absence de réponse de la part du constructeur, le chercheur a fini par soumettre sa découverte « gratuitement ». La vulnérabilité est « très critique », et la sécurité des utilisateurs macOS est « très importante » à ses yeux. Il est probable qu’il soit remercié dans les notes de version d’une future mise à jour de sécurité du système.
Après la rocambolesque cagade de la faille FaceTime, Apple a promis de revoir le processus de réception et de remontée des bugs. Espérons que macOS fasse partie de la réflexion.
