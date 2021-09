in

Apple a annoncé une extension majeure de son programme de primes aux bogues en 2019, offrant des paiements plus élevés aux chercheurs, une assistance Mac, des appareils de développement dédiés, etc. Deux ans plus tard, Apple qualifie le programme remanié de primes aux bogues de “succès fulgurant”, tandis qu’un rapport du Washington Post indique que les chercheurs en sécurité en ont ” marre ” du programme.

Le rapport comprend une histoire notable de Tian Zhang, un ingénieur logiciel iOS, qui prétend avoir soumis plusieurs bogues à Apple et n’avoir jamais reçu de paiement. En fait, Zhang dit qu’il a plutôt été expulsé du programme pour développeurs Apple :

Tian Zhang, un ingénieur logiciel iOS, a signalé pour la première fois un bogue à Apple en 2017. Après des mois d’attente pour qu’Apple corrige le bogue, Zhang a perdu patience et a décidé de bloguer sur sa découverte. La deuxième fois qu’il a signalé une faille de sécurité, il dit qu’Apple l’a corrigée mais l’a ignoré. En juillet, Zhang a soumis un autre bogue à Apple qui, selon lui, était éligible à une récompense. Le logiciel a été rapidement réparé, mais Zhang n’a pas reçu de récompense. Au lieu de cela, il a été expulsé du programme pour développeurs Apple. L’adhésion au programme est requise pour pouvoir soumettre des applications à l’App Store. Apple n’a pas commenté les allégations de Zhang.

Une poignée d’histoires similaires sont citées dans le rapport du Washington Post, y compris des chercheurs qui disent qu’Apple met trop de temps à effectuer les paiements et disent que des rivaux comme Facebook et Microsoft exploitent de meilleurs programmes de primes de bogues. Google (6,7 millions de dollars en 2020) et Microsoft (13,6 millions de dollars) ont également payé plus qu’Apple (3,7 millions de dollars).

Le rapport souligne également qu’Apple a un « arriéré massif de bogues qu’il n’a pas corrigés », citant des sources anonymes :

Cependant, les montants des paiements ne sont pas le seul facteur de réussite. Les meilleurs programmes prennent en charge les conversations ouvertes entre les pirates et l’entreprise. Apple, déjà connu pour être discret, limite la communication et les commentaires sur les raisons pour lesquelles il choisit de payer ou de ne pas payer pour un bogue, selon des chercheurs en sécurité qui ont soumis des bogues au programme de primes et un ancien employé qui a parlé sous couvert d’anonymat. en raison d’un accord de non-divulgation. Apple a également un énorme arriéré de bogues qu’il n’a pas corrigés, selon l’ancien employé et un employé actuel, qui ont également parlé sous couvert d’anonymat en raison d’un NDA.

Dans un communiqué, Ivan Krstić, responsable de l’ingénierie et de l’architecture de sécurité d’Apple, a déclaré que le programme de primes aux bogues avait été un “succès fulgurant” jusqu’à présent et qu’Apple travaillait dur pour “faire évoluer le programme”.

“Le programme Apple Security Bounty a été un succès fulgurant”, a déclaré Ivan Krstić, responsable de l’ingénierie et de l’architecture de sécurité d’Apple, dans un communiqué envoyé par courrier électronique. Apple a presque doublé le montant qu’il a payé en primes de bogues cette année par rapport à l’année dernière, et il est en tête du secteur pour le montant moyen payé par prime, a-t-il déclaré. « Nous travaillons dur pour faire évoluer le programme au cours de sa croissance spectaculaire, et nous continuerons d’offrir les meilleures récompenses aux chercheurs en sécurité qui travaillent avec nous côte à côte pour protéger nos utilisateurs et leurs données sur plus d’un milliard d’appareils Apple dans le monde » il ajouta.

Une information dans le rapport d’aujourd’hui est qu’Apple a apparemment embauché « un nouveau chef pour son programme de primes de bogues » cette année, dans le « but de le réformer ». Cette personne travaillerait sous Krstić, mais Apple ne fournirait pas plus de détails.

Le rapport complet du Washington Post vaut la peine d’être lu et peut être trouvé ici.

