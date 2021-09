in

Cela a été quelques semaines difficiles pour Apple en ce qui concerne la sécurité de l’iPhone. Plus tôt ce mois-ci, Apple a publié une mise à jour de sécurité pour corriger une vulnérabilité capable de permettre à un acteur malveillant d’avoir un accès complet à tout sur votre téléphone. Ce qui est encore plus choquant, c’est que l’exploit était si sophistiqué qu’il n’exigeait même pas que les utilisateurs d’iPhone cliquent sur un lien.

Plus récemment, un chercheur en sécurité nommé Denis Tokarev a reproché à Apple d’avoir ignoré ses avertissements concernant une poignée de failles de sécurité de l’iPhone. Tokarev a signalé quatre vulnérabilités de sécurité zero-day distinctes à Apple. Cependant, un seul d’entre eux a été résolu avec la mise à jour iOS 15. Tokarev est devenu tellement frustré par le manque de communication d’Apple qu’il a fini par publier les failles de sécurité publiquement.

Le manque de communication d’Apple concernant la sécurité de l’iPhone

À partir de mars, Tokarev a mis au jour quatre vulnérabilités zero-day concernant l’iPhone. En mars et avril, Tokarev a relayé ces vulnérabilités à Apple via le programme Bug Bounty de l’entreprise.

A partir de là, les choses deviennent un peu floues. Au cours des six mois suivants, la communication d’Apple avec Tokarev était minime. En fait, Apple a correspondu pour la dernière fois avec Tokarev au sujet des exploits en août. De plus, aucun des quatre bugs n’avait été corrigé au cours des six mois écoulés depuis que Tokarev les a signalés à Apple. Naturellement, Tokarev est devenu frustré.

Ainsi, Tokarev a déclaré début septembre à Apple qu’il publierait les détails des exploits s’il n’avait pas de réponse. Et il l’a fait.

Apple s’excuse auprès d’un chercheur en sécurité

Une fois que les failles de sécurité de l’iPhone ont été rendues publiques, Apple a commencé à avoir mauvaise presse. Et, comme sur des roulettes, la société a finalement résolu le problème et s’est excusée auprès de Tokarev.

L’e-mail d’Apple à Tokarev, via Motherboard, se lit comme suit :

Nous nous excusons pour le retard à vous répondre. Nous souhaitons vous informer que nous enquêtons toujours sur ces problèmes et sur la manière dont nous pouvons les résoudre pour protéger les clients. Merci encore d’avoir pris le temps de nous signaler ces problèmes, nous apprécions votre aide. S’il vous plaît laissez-nous savoir si vous avez des questions.

Les exploits de l’iPhone étaient-ils sérieux ?

C’est une question intéressante. Notamment, même Tokarev concède que les vulnérabilités de sécurité de l’iPhone n’étaient pas critiques. En effet, les exploits n’entreraient en jeu que dans un scénario théorique où une application malveillante réussirait à se frayer un chemin sur l’App Store et les iPhones des gens.

Néanmoins, le problème majeur ici n’est pas la gravité des vulnérabilités, mais le manque total de communication d’Apple.

Le programme de bug bounty d’Apple

Incidemment, le Washington Post a publié il y a quelques semaines un regard peu flatteur sur le programme Bug Bounty d’Apple. Certains chercheurs en sécurité de l’iPhone, par exemple, ont déclaré qu’Apple ne paie pas toujours ce qu’il doit pour les vulnérabilités découvertes. De plus, certains chercheurs en sécurité ont déclaré qu’Apple était horrible à maintenir des lignes de communication ouvertes avec eux. Certains employés d’Apple affirment qu’il existe un arriéré de bogues qu’Apple n’a même pas encore eu le temps de résoudre.

“Vous devez disposer d’un mécanisme interne de correction de bogues sain avant de pouvoir tenter d’avoir un programme de divulgation de vulnérabilité de bogue sain”, a déclaré Katie Moussouris, PDG de Luta Security. « Que pensez-vous qu’il se passe s’ils signalent un bogue que vous connaissiez déjà mais que vous n’avez pas corrigé ? Ou s’ils signalent quelque chose qui vous prend 500 jours pour le réparer ? »

Si Apple n’améliore pas la façon dont il gère son programme Bug Bounty, les chercheurs en sécurité iPhone peuvent simplement concentrer leur attention ailleurs. De plus, les programmes de bug bounty concurrents de Facebook et de Google paient déjà plus d’argent que ce que propose Apple.

L’article de blog de Tokarev sur son expérience avec Apple est disponible ici. Cela vaut la peine d’être lu et aide à montrer à quel point l’équipe de sécurité d’Apple a mal géré la correspondance avec lui.