Frustré par le programme de « bug bounty » d’Apple, un chercheur rend publiques quatre zero-day

Fanny Dufour
27 septembre 2021 à 10h26
13
© Unsplash / Laurenz Heymann
© Unsplash / Laurenz Heymann

Sans réponse de la part d'Apple plusieurs mois après leur avoir signalé l'existence de vulnérabilités dans iOS, un chercheur a décidé de publier des preuves de concept pour ces failles sur GitHub.

Il rejoint la longue liste de spécialistes en sécurité informatique dénonçant la gestion du programme de « bug bounty » d'Apple, ceux-ci ayant de plus en plus de mal à être crédités et payés par l'entreprise suite à la découverte de vulnérabilités.

Lire aussi :
Des millions d'iPhone pourraient être privés d'Internet le 30 septembre

Des applications pouvant accéder à des données confidentielles

En début d'année, Denis Tokarev, désormais connu sous le pseudonyme Illusion of Chaos sur Twitter, a trouvé quatre zero-day dans iOS. Apple ayant un programme de « bug bounty », c'est donc par lui qu'il est passé afin de les divulguer de façon responsable. Les quatre zero-day concernent les applications et les informations auxquelles elles ont la possibilité d'accéder :

  • Gamed 0-day : une vulnérabilité permettant à n'importe quelle application installée depuis l'App Store d'accéder à des informations personnelles sur l'utilisateur ou utilisatrice, sans qu'il ou elle soit prévenu(e). Parmi ces informations, on retrouve l'email, le nom complet et le jeton d'authentification associés à un Apple ID. L'application peut également accéder aux listes de contact de l'utilisateur ou utilisatrice sur les applications natives mais aussi sur des applications tierces, ainsi qu'aux métadonnées et pièces jointes des messages envoyés. Cette vulnérabilité a été rapportée à Apple le 10 mars 2021.
  • Nehelper Enumerate Installed Apps 0-day : permet à n'importe quelle application installée par un utilisateur ou une utilisatrice de déterminer si une autre application est installée sur le téléphone en renseignant son Bundle ID. Cette vulnérabilité a été rapportée à Apple le 4 mai 2021.
  • Nehelper Wifi Info 0-day : permet à n'importe quelle application autorisée à accéder à la localisation d'accéder aux informations Wifi. Cette vulnérabilité a été rapportée à Apple le 2 mai 2021.
  • Analysticsd : permet à n'importe quelle application installée par l'utilisateur ou utilisatrice d'accéder aux données d'analyse. Celles-ci peuvent contenir des données médicales, mais aussi des données sur le cycle menstruel, sur le sexe biologique, sur l'âge et sur l'activité sexuelle de l'utilisateur ou utilisatrice. Il s'y trouve également des informations concernant l'utilisation de l'appareil, sur le temps passé sur une application en fournissant son Bundle ID, sur les accessoires de l'appareil, sur les crashes d'applications et sur les langues des pages vues par l'utilisateur ou utilisatrice sur Safari. Toutes ces données sont récupérables même si « Partager l’analyse de l’iPhone » a été désactivé. Cette vulnérabilité a été rapportée à Apple le 29 avril 2021 et corrigée le 19 juillet, sans créditer Tokarev.

Voyant qu'il n'était pas crédité pour sa découverte lors du patch d'Analyticsd, le chercheur a demandé des explications à l'entreprise. Celle-ci lui a répondu que c'était une erreur de traitement et qu'il serait crédité lors d'un prochain avis de sécurité. Trois avis de sécurité ayant été publiés depuis, toujours sans crédit et sans réponse à ce sujet et au sujet des trois autres vulnérabilités, le chercheur a décidé de créer un compte Twitter et un post de blog afin de les rendre publiques.

Lire aussi :
Vous avez iOS 15 et votre stockage est plein ? C'est peut-être juste un bug... et ça touche tous les utilisateurs

Une frustration grandissante

Ce n'est pas le premier chercheur à faire part de sa frustration envers le programme de « bug bounty » d'Apple et à le faire savoir en rendant publiques des vulnérabilités. La semaine dernière, Jose Rodriguez a dévoilé un moyen de contourner le verrouillage de l'écran sur iOS 15, le jour de la sortie de la mise à jour. Le chercheur était frustré par la façon dont Apple avait traité sa découverte, en la minimisant, en le payant moins que ce qui était prévu par le programme et en sortant un fix qui n'en était pas un. Le Washington Post s'était par ailleurs emparé du sujet en début du mois, dans un article détaillant le mécontentement grandissant des chercheurs en sécurité et autres chasseurs de bugs envers la firme.

Quant à Tokarev, il a reçu une réponse d'Apple 24 heures après la publication de son post de blog. L'entreprise a notamment déclaré : « Nous sommes toujours en train d'enquêter sur ces problèmes et sur la façon dont nous pouvons les résoudre pour protéger nos clients. Encore merci d'avoir pris le temps de nous signaler ces problèmes, nous apprécions votre aide ». Une maigre consolation après des mois de silence.

Sources : The Register , Illusionofchaos, The Washington post, The Record

Fanny Dufour

Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numérique...

Lire d'autres articles

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (13)

Murphy-Law
Ce qui est vraiment dommage dans cette attitude d’Apple, c’est que ces chercheurs en sécurité, qui sont à priori des «&nbsp;white hat&nbsp;», mais qui veulent aussi vivre correctement de leur travail de recherche, risquent de devenir des «&nbsp;black hat&nbsp;» et vendre leurs découvertes aux plus offrant, genre à NSO Group (Pegasus) et autre…<br /> Pensez-y Apple…<br /> @HAL1 : vous avez raison, soyons précis : c’est d’Apple, pas du reste des GAFAM dont il est question…
sirifa
Les GAFAM semblent ne pas avoir du tout de service après vente ou même d’employer pour gérer le publique.<br /> Ils ne connaissent que la publicité et le marketing. Une fois leurs intérêts dans un contrat réalisé, en général l’autre partie peut aller voir ailleurs s’il y sont.<br /> Il faut ajouter que nous sommes des étrangers pour les GAFAM, le sentiments de «&nbsp;USA first&nbsp;» est quand même très présent dans bon nombre d’entreprises américaines.
Comcom1
C’est sûr, un peu ce que disait les inconnus : « il ne faut jamais dire aux gens qu’ils sont cons mais ne jamais oublier qu’ils le sont »
ramses_deux
Le meilleur pour la fin se trouve en suivant la source de l’article :<br /> "While some developers have found Apple’s Security Bounty program rewarding, others share the frustration expressed by IllusionOfChaos. In July, 2020, Jeff Johnson, who runs app biz Lapcat Software, went public with a privacy bypass vulnerability because Apple failed to fix the bug he had reported. At the time, he told The Register, «&nbsp;Talking to Apple Product Security is like talking to a brick wall.&nbsp;»<br /> «&nbsp;The Register asked Apple to comment, but the brick wall did not respond.&nbsp;»
HAL1
Je dois avouer que j’ai un peu de mal à comprendre pourquoi les 3 premiers commentaires parlent des «&nbsp;GAFAM&nbsp;», sachant que c’est Apple qui est en cause ici (et ce n’est de loin pas nouveau que la Pomme est particulièrement mauvaise quand il s’agit de récompenser les chercheurs en sécurité) et que l’article ne mentionne à aucun moment Google, Amazon, Facebook et Microsoft…
Bombing_Basta
Parce-qu’Apple EST un GAFAM…<br /> Edit : GAFAM — Wikipédia<br /> On pourrait y ajouter plein d’autres lettres…
HAL1
En effet, Apple est un GAFAM. Sauf que ce qui arrive à un des GAFAM ne s’applique pas nécessairement aux autres. Et c’est exactement le cas ici.
Keorl
Et alors ?<br /> Pour qu’il y ait le moindre sens logique à cet argument pour l’utiliser ici, il aurait fallu pouvoir dire «&nbsp;les gafam sont apple&nbsp;». Ce qui n’est pas le cas.
MisterDams
Cet amalgame entre les GAFAM et cette histoire est surtout une grosse erreur, car justement les bugs bounty sont plutôt bien intégrés dans ces sociétés, car ça leur coûte moins cher de récompenser le white hat que de subir le black hat, ou de payer des gens à chercher en interne.<br /> En tout cas, c’est pas le truc sur lequel on peut leur faire le plus de reproches…
LeGrosWinnie
L’histoire avec les GAFAM c’est juste pour pouvoir cracher sur quelqu’un… C’est tout…<br /> Genre le mec est un fanboy d’Apple, donc il va dire : oui les GAFAM c’est de la merde.<br /> Au lieu de simplement être honnête pour une fois dans sa vie et reconnaître que sur le coup Apple prend les gens pour des cons…
vVD
Puisqu’on vous dit que c’est l’OS le plus sécurisé du monde, arrêtez de regarder il n’y a rien à voir !<br /> En plus, ce n’est pas écologique de regarder un programme où il n’y a rien à voir.<br /> J’ai oublié un truc ?
MqcdupouletBasquez
S’il fallait faire un tel scandale chaque fois qu’un patron traite mal ses employés ou ses sous traitants….<br /> Mais dans quel monde on vit pour que chaque problème individuel devienne « le quart d’heure de gloire » mondial…<br /> Gnagna, mal payé… que c’est nouveau !!<br /> Gnagna mal considéré…. Ohhhhh surprenant !!!<br /> Gnagna manque de reconnaissance… stupéfiant !!<br /> C’est vraiment très très puéril.<br /> Hier il fallait plaindre les malheureux traders qui ne faisaient jamais que spéculer honnêtement sur les assurances vies pendant le 11 septembre.<br /> Maintenant, faut pleurer le sort de malheureux informaticiens dont le but est de vivre sur les faiblesses d’un système informatique.
Murphy-Law
Mouais, bien sûr qu’on ne vis pas dans un monde de bisounours…<br /> Sauf que si ces «&nbsp;malheureux informaticiens&nbsp;» n’existaient pas, de nombreux systèmes informatiques continueraient d’être «&nbsp;troués&nbsp;» sans que personne ne s’en aperçoive, et par rebond, Monsieur MqcdupouletBasquez, vous seriez bien dans l’embarras quand vous vous feriez pirater vos informations sensibles (comptes bancaires, etc…). Et oui, les pirates aussi savent qu’on n’est pas chez les bisounours…<br /> Le problème ici, c’est que si Apple dit : je te paie xxx Dollars si tu trouves une faille, et qu’après il ne tiens pas son engagement, non seulement il est en tort, mais en plus, et surtout, il fragilise la sécurisation de ses produits.<br /> Expert en cybersécurité, c’est un métier comme un autre, qui demande des compétences, du temps de formation, et qui mérite aussi une rémunération juste, comme le métier que vous avez certainement… ce n’est pas de la polémique.<br /> Si on monte en épingle ce genre d’information, c’est justement parce que les bisounours n’existent pas, et qu’il faut chaque fois se battre pour faire reconnaitre les droits et les devoirs de chacun…
MqcdupouletBasquez
ah, j’avais déja l’impréssion que toutes nos données médicales étaient disponible sur le net et que ce n’est pas une grande nouveauté et j’ai régulièrement un rappel de google pour m’informer que mon mot de passe est diffusé un peu partout sur internet et qu’il serait judicieux d’en changer.<br /> Concernant le «&nbsp;problème&nbsp;» Apple, c’est pas extrêmement nouveau, c’est déplaisant, je n’en disconviens pas mais pas «&nbsp;nouveau&nbsp;».<br /> Quel journaliste pigiste n’a jamais eu de mal à se faire payer par un employeur peu scrupuleux,<br /> je pense que le milieu de l’informatique n’est pas différent des autres.<br /> je n’apprécie pas de base le métier qui consiste à vivre en signalant des failles de sécurité, mais j’allais dire, on s’en fout un peu (beaucoup) et honnêtement, je le comprend.<br /> Après c’est un vrai-faux débat, c’est un métier, j’en ai un aussi et comme vous dites, c’est toujours facile de dénigrer le métier de quelqu’un.<br /> Apple a fait une politique, qu’elle l’a respecte, point.<br /> J’entend cet arguement pleinement, j’ai juste du mal à compatir avec ces gens (ces informaticiens) qui semblent découvrir le monde.<br /> Je pense qu’on a tous universellement dans tous les métiers y compris indépendant des problèmes pour se faire payer.<br /> Je n’ai rien contre ce monsieur qui divulgue des failles de sécurité critiques, c’est son choix, ça ne me concerne pas.<br /> C’est à Apple de sécuriser son systeme.<br /> A la base, ils sont sensés avoir leurs propres cybersécurité, payer des sommes si faramineuses pour découvrir des failles, pfffffffff…<br /> Enfin bon on va tourner en rond, oui je juge, j’assume, ça me fait un peu bizarre d’entendre quelqu’un réclamer 25.000$ pour 1 faille de sécurité quand je me fais chier à bosser 14-15h par jour à soigner des gens. J’ai pas envie de changer de métier, je trouve juste juste que 25K pour ça, c’est cher payé, mais c’est un jugement personnel et de valeur.<br /> Mais je vais chiant et honnête, filer du fric à des gens pour taper sur une balle avec une raquette de Tennis, ça me fait halluciner aussi. Mais c’est la vie ^^
Murphy-Law
Les 25000$ c’est Apple qui les propose… donc le «&nbsp;contrat&nbsp;» est de son fait…<br /> Soigner des gens comme vous le faites, c’est un très beau métier, et on ne peut évidemment pas comparer son utilité à celui de trouver des failles informatiques…<br /> Cependant, dans votre métier, vous avez aussi accepté un «&nbsp;contrat&nbsp;», et un salaire.<br /> Quel que soit le métier, ou le travail, si une partie ne respecte pas le «&nbsp;contrat&nbsp;», elle est en tort - Point.<br /> Si vous n’étiez pas payé pour votre travail, je serai également de ceux qui réagiraient.<br /> Alors on pourrait discuter longtemps sur le fait de parler, ou pas, de ce genre de news, mais là comme vous le laissez entendre, c’est purement un jugement de valeur.<br /> Moi, ce que je vois, c’est qu’Apple, malgré sa richesse, ne respecte pas sa parole (son contrat de bug bounty avec les experts en cybersécurité), et surtout mets en danger son écosystème logiciel…<br /> Une chose aussi que peut-être vous ne discernez pas complètement : si des sociétés de création de logiciels font appel à des intervenants externes, c’est parce qu’elles savent qu’un tel regard extérieur est souvent nécessaire pour trouver des failles, et cela malgré des processus de débogage avancés, et l’utilisation d’équipes distinctes pour trouver en interne les failles. Pourquoi ? parce que souvent, on a «&nbsp;le nez dans le guidon&nbsp;» et on ne voit plus certaines choses.<br /> Le métier d’expert indépendant en sécurité informatique est donc nécessaire : ce ne sont pas des parasites, et ils méritent d’être payés aussi… au prix que fixent les sociétés qui désirent les solliciter…<br /> En corolaire, le Pentest (ou test d’intrusion) est une pratique courante dans les entreprises, et dans l’immense majorité des cas, c’est réalisé par des experts extérieurs pour les mêmes raisons…<br /> PS : je ne suis pas expert en sécurité informatique, mais je travaille dans ce milieu depuis de nombreuses années.
Murphy-Law
+1 :<br /> Clubic.com – 4 Oct 21<br /> Apple corrige discrètement une faille dans iOS 15 (et refuse de créditer le...<br /> Une faille de sécurité a discrètement été corrigée dans la version 15.0.1 d'iOS.<br />
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Vulnérabilités zero-day : est-il vraiment pertinent de les rendre publiques ? Vulnérabilités zero-day : est-il vraiment pertinent de les rendre publiques ?
Meta met à jour son programme de bug bounty avec le metaverse dans le collimateur Meta met à jour son programme de bug bounty avec le metaverse dans le collimateur
Attention ! Ce malware dans Microsoft Office peut exécuter du code, même sans macros Attention ! Ce malware dans Microsoft Office peut exécuter du code, même sans macros
Une importante vulnérabilité a sévi dans les Amazon Kindle, et pendant longtemps Une importante vulnérabilité a sévi dans les Amazon Kindle, et pendant longtemps
Une faille 0-day ? C'est quoi au juste ? Une faille 0-day ? C'est quoi au juste ?