Frustré par le programme de « bug bounty » d’Apple, un chercheur rend publiques quatre zero-day

27 septembre 2021 à 10h25
13
Apple logo © © Unsplash / Laurenz Heymann
© Unsplash / Laurenz Heymann

Sans réponse de la part d'Apple plusieurs mois après leur avoir signalé l'existence de vulnérabilités dans iOS, un chercheur a décidé de publier des preuves de concept pour ces failles sur GitHub.

Il rejoint la longue liste de spécialistes en sécurité informatique dénonçant la gestion du programme de « bug bounty » d'Apple, ceux-ci ayant de plus en plus de mal à être crédités et payés par l'entreprise suite à la découverte de vulnérabilités.

Des applications pouvant accéder à des données confidentielles

En début d'année, Denis Tokarev, désormais connu sous le pseudonyme Illusion of Chaos sur Twitter , a trouvé quatre zero-day dans iOS. Apple ayant un programme de « bug bounty », c'est donc par lui qu'il est passé afin de les divulguer de façon responsable. Les quatre zero-day concernent les applications et les informations auxquelles elles ont la possibilité d'accéder :

  • Gamed 0-day : une vulnérabilité permettant à n'importe quelle application installée depuis l'App Store d'accéder à des informations personnelles sur l'utilisateur ou utilisatrice, sans qu'il ou elle soit prévenu(e). Parmi ces informations, on retrouve l'email, le nom complet et le jeton d'authentification associés à un Apple ID. L'application peut également accéder aux listes de contact de l'utilisateur ou utilisatrice sur les applications natives mais aussi sur des applications tierces, ainsi qu'aux métadonnées et pièces jointes des messages envoyés. Cette vulnérabilité a été rapportée à Apple le 10 mars 2021.
  • Nehelper Enumerate Installed Apps 0-day : permet à n'importe quelle application installée par un utilisateur ou une utilisatrice de déterminer si une autre application est installée sur le téléphone en renseignant son Bundle ID. Cette vulnérabilité a été rapportée à Apple le 4 mai 2021.
  • Nehelper Wifi Info 0-day : permet à n'importe quelle application autorisée à accéder à la localisation d'accéder aux informations Wifi. Cette vulnérabilité a été rapportée à Apple le 2 mai 2021.
  • Analysticsd : permet à n'importe quelle application installée par l'utilisateur ou utilisatrice d'accéder aux données d'analyse. Celles-ci peuvent contenir des données médicales, mais aussi des données sur le cycle menstruel, sur le sexe biologique, sur l'âge et sur l'activité sexuelle de l'utilisateur ou utilisatrice. Il s'y trouve également des informations concernant l'utilisation de l'appareil, sur le temps passé sur une application en fournissant son Bundle ID, sur les accessoires de l'appareil, sur les crashes d'applications et sur les langues des pages vues par l'utilisateur ou utilisatrice sur Safari. Toutes ces données sont récupérables même si « Partager l’analyse de l’iPhone  » a été désactivé. Cette vulnérabilité a été rapportée à Apple le 29 avril 2021 et corrigée le 19 juillet, sans créditer Tokarev.

Voyant qu'il n'était pas crédité pour sa découverte lors du patch d'Analyticsd, le chercheur a demandé des explications à l'entreprise. Celle-ci lui a répondu que c'était une erreur de traitement et qu'il serait crédité lors d'un prochain avis de sécurité. Trois avis de sécurité ayant été publiés depuis, toujours sans crédit et sans réponse à ce sujet et au sujet des trois autres vulnérabilités, le chercheur a décidé de créer un compte Twitter et un post de blog afin de les rendre publiques.

Une frustration grandissante

Ce n'est pas le premier chercheur à faire part de sa frustration envers le programme de « bug bounty » d'Apple et à le faire savoir en rendant publiques des vulnérabilités. La semaine dernière, Jose Rodriguez a dévoilé un moyen de contourner le verrouillage de l'écran sur iOS 15, le jour de la sortie de la mise à jour. Le chercheur était frustré par la façon dont Apple avait traité sa découverte, en la minimisant, en le payant moins que ce qui était prévu par le programme et en sortant un fix qui n'en était pas un. Le Washington Post s'était par ailleurs emparé du sujet en début du mois, dans un article détaillant le mécontentement grandissant des chercheurs en sécurité et autres chasseurs de bugs envers la firme.

Quant à Tokarev, il a reçu une réponse d'Apple 24 heures après la publication de son post de blog. L'entreprise a notamment déclaré : « Nous sommes toujours en train d'enquêter sur ces problèmes et sur la façon dont nous pouvons les résoudre pour protéger nos clients. Encore merci d'avoir pris le temps de nous signaler ces problèmes, nous apprécions votre aide ». Une maigre consolation après des mois de silence.

Modifié le 27/09/2021 à 10h26
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
13
13
clockover
Les GAFAM s’en foutent des gens. Il va falloir le comprendre.<br /> Si ils pouvaient les piétiner, ils le feraient…
Murphy-Law
Ce qui est vraiment dommage dans cette attitude d’Apple, c’est que ces chercheurs en sécurité, qui sont à priori des «&nbsp;white hat&nbsp;», mais qui veulent aussi vivre correctement de leur travail de recherche, risquent de devenir des «&nbsp;black hat&nbsp;» et vendre leurs découvertes aux plus offrant, genre à NSO Group (Pegasus) et autre…<br /> Pensez-y Apple…<br /> @HAL1 : vous avez raison, soyons précis : c’est d’Apple, pas du reste des GAFAM dont il est question…
sirifa
Les GAFAM semblent ne pas avoir du tout de service après vente ou même d’employer pour gérer le publique.<br /> Ils ne connaissent que la publicité et le marketing. Une fois leurs intérêts dans un contrat réalisé, en général l’autre partie peut aller voir ailleurs s’il y sont.<br /> Il faut ajouter que nous sommes des étrangers pour les GAFAM, le sentiments de «&nbsp;USA first&nbsp;» est quand même très présent dans bon nombre d’entreprises américaines.
Comcom1
C’est sûr, un peu ce que disait les inconnus : « il ne faut jamais dire aux gens qu’ils sont cons mais ne jamais oublier qu’ils le sont »
ramses_deux
Le meilleur pour la fin se trouve en suivant la source de l’article :<br /> "While some developers have found Apple’s Security Bounty program rewarding, others share the frustration expressed by IllusionOfChaos. In July, 2020, Jeff Johnson, who runs app biz Lapcat Software, went public with a privacy bypass vulnerability because Apple failed to fix the bug he had reported. At the time, he told The Register, «&nbsp;Talking to Apple Product Security is like talking to a brick wall.&nbsp;»<br /> «&nbsp;The Register asked Apple to comment, but the brick wall did not respond.&nbsp;»
HAL1
Je dois avouer que j’ai un peu de mal à comprendre pourquoi les 3 premiers commentaires parlent des «&nbsp;GAFAM&nbsp;», sachant que c’est Apple qui est en cause ici (et ce n’est de loin pas nouveau que la Pomme est particulièrement mauvaise quand il s’agit de récompenser les chercheurs en sécurité) et que l’article ne mentionne à aucun moment Google, Amazon, Facebook et Microsoft…
Bombing_Basta
Parce-qu’Apple EST un GAFAM…<br /> Edit : GAFAM — Wikipédia<br /> On pourrait y ajouter plein d’autres lettres…
HAL1
En effet, Apple est un GAFAM. Sauf que ce qui arrive à un des GAFAM ne s’applique pas nécessairement aux autres. Et c’est exactement le cas ici.
Keorl
Et alors ?<br /> Pour qu’il y ait le moindre sens logique à cet argument pour l’utiliser ici, il aurait fallu pouvoir dire «&nbsp;les gafam sont apple&nbsp;». Ce qui n’est pas le cas.
MisterDams
Cet amalgame entre les GAFAM et cette histoire est surtout une grosse erreur, car justement les bugs bounty sont plutôt bien intégrés dans ces sociétés, car ça leur coûte moins cher de récompenser le white hat que de subir le black hat, ou de payer des gens à chercher en interne.<br /> En tout cas, c’est pas le truc sur lequel on peut leur faire le plus de reproches…
LeGrosWinnie
L’histoire avec les GAFAM c’est juste pour pouvoir cracher sur quelqu’un… C’est tout…<br /> Genre le mec est un fanboy d’Apple, donc il va dire : oui les GAFAM c’est de la merde.<br /> Au lieu de simplement être honnête pour une fois dans sa vie et reconnaître que sur le coup Apple prend les gens pour des cons…
vVDB
Puisqu’on vous dit que c’est l’OS le plus sécurisé du monde, arrêtez de regarder il n’y a rien à voir !<br /> En plus, ce n’est pas écologique de regarder un programme où il n’y a rien à voir.<br /> J’ai oublié un truc ?
MqcdupouletBasquez
S’il fallait faire un tel scandale chaque fois qu’un patron traite mal ses employés ou ses sous traitants….<br /> Mais dans quel monde on vit pour que chaque problème individuel devienne « le quart d’heure de gloire » mondial…<br /> Gnagna, mal payé… que c’est nouveau !!<br /> Gnagna mal considéré…. Ohhhhh surprenant !!!<br /> Gnagna manque de reconnaissance… stupéfiant !!<br /> C’est vraiment très très puéril.<br /> Hier il fallait plaindre les malheureux traders qui ne faisaient jamais que spéculer honnêtement sur les assurances vies pendant le 11 septembre.<br /> Maintenant, faut pleurer le sort de malheureux informaticiens dont le but est de vivre sur les faiblesses d’un système informatique.
Murphy-Law
Mouais, bien sûr qu’on ne vis pas dans un monde de bisounours…<br /> Sauf que si ces «&nbsp;malheureux informaticiens&nbsp;» n’existaient pas, de nombreux systèmes informatiques continueraient d’être «&nbsp;troués&nbsp;» sans que personne ne s’en aperçoive, et par rebond, Monsieur MqcdupouletBasquez, vous seriez bien dans l’embarras quand vous vous feriez pirater vos informations sensibles (comptes bancaires, etc…). Et oui, les pirates aussi savent qu’on n’est pas chez les bisounours…<br /> Le problème ici, c’est que si Apple dit : je te paie xxx Dollars si tu trouves une faille, et qu’après il ne tiens pas son engagement, non seulement il est en tort, mais en plus, et surtout, il fragilise la sécurisation de ses produits.<br /> Expert en cybersécurité, c’est un métier comme un autre, qui demande des compétences, du temps de formation, et qui mérite aussi une rémunération juste, comme le métier que vous avez certainement… ce n’est pas de la polémique.<br /> Si on monte en épingle ce genre d’information, c’est justement parce que les bisounours n’existent pas, et qu’il faut chaque fois se battre pour faire reconnaitre les droits et les devoirs de chacun…
MqcdupouletBasquez
ah, j’avais déja l’impréssion que toutes nos données médicales étaient disponible sur le net et que ce n’est pas une grande nouveauté et j’ai régulièrement un rappel de google pour m’informer que mon mot de passe est diffusé un peu partout sur internet et qu’il serait judicieux d’en changer.<br /> Concernant le «&nbsp;problème&nbsp;» Apple, c’est pas extrêmement nouveau, c’est déplaisant, je n’en disconviens pas mais pas «&nbsp;nouveau&nbsp;».<br /> Quel journaliste pigiste n’a jamais eu de mal à se faire payer par un employeur peu scrupuleux,<br /> je pense que le milieu de l’informatique n’est pas différent des autres.<br /> je n’apprécie pas de base le métier qui consiste à vivre en signalant des failles de sécurité, mais j’allais dire, on s’en fout un peu (beaucoup) et honnêtement, je le comprend.<br /> Après c’est un vrai-faux débat, c’est un métier, j’en ai un aussi et comme vous dites, c’est toujours facile de dénigrer le métier de quelqu’un.<br /> Apple a fait une politique, qu’elle l’a respecte, point.<br /> J’entend cet arguement pleinement, j’ai juste du mal à compatir avec ces gens (ces informaticiens) qui semblent découvrir le monde.<br /> Je pense qu’on a tous universellement dans tous les métiers y compris indépendant des problèmes pour se faire payer.<br /> Je n’ai rien contre ce monsieur qui divulgue des failles de sécurité critiques, c’est son choix, ça ne me concerne pas.<br /> C’est à Apple de sécuriser son systeme.<br /> A la base, ils sont sensés avoir leurs propres cybersécurité, payer des sommes si faramineuses pour découvrir des failles, pfffffffff…<br /> Enfin bon on va tourner en rond, oui je juge, j’assume, ça me fait un peu bizarre d’entendre quelqu’un réclamer 25.000$ pour 1 faille de sécurité quand je me fais chier à bosser 14-15h par jour à soigner des gens. J’ai pas envie de changer de métier, je trouve juste juste que 25K pour ça, c’est cher payé, mais c’est un jugement personnel et de valeur.<br /> Mais je vais chiant et honnête, filer du fric à des gens pour taper sur une balle avec une raquette de Tennis, ça me fait halluciner aussi. Mais c’est la vie ^^
Murphy-Law
Les 25000$ c’est Apple qui les propose… donc le «&nbsp;contrat&nbsp;» est de son fait…<br /> Soigner des gens comme vous le faites, c’est un très beau métier, et on ne peut évidemment pas comparer son utilité à celui de trouver des failles informatiques…<br /> Cependant, dans votre métier, vous avez aussi accepté un «&nbsp;contrat&nbsp;», et un salaire.<br /> Quel que soit le métier, ou le travail, si une partie ne respecte pas le «&nbsp;contrat&nbsp;», elle est en tort - Point.<br /> Si vous n’étiez pas payé pour votre travail, je serai également de ceux qui réagiraient.<br /> Alors on pourrait discuter longtemps sur le fait de parler, ou pas, de ce genre de news, mais là comme vous le laissez entendre, c’est purement un jugement de valeur.<br /> Moi, ce que je vois, c’est qu’Apple, malgré sa richesse, ne respecte pas sa parole (son contrat de bug bounty avec les experts en cybersécurité), et surtout mets en danger son écosystème logiciel…<br /> Une chose aussi que peut-être vous ne discernez pas complètement : si des sociétés de création de logiciels font appel à des intervenants externes, c’est parce qu’elles savent qu’un tel regard extérieur est souvent nécessaire pour trouver des failles, et cela malgré des processus de débogage avancés, et l’utilisation d’équipes distinctes pour trouver en interne les failles. Pourquoi ? parce que souvent, on a «&nbsp;le nez dans le guidon&nbsp;» et on ne voit plus certaines choses.<br /> Le métier d’expert indépendant en sécurité informatique est donc nécessaire : ce ne sont pas des parasites, et ils méritent d’être payés aussi… au prix que fixent les sociétés qui désirent les solliciter…<br /> En corolaire, le Pentest (ou test d’intrusion) est une pratique courante dans les entreprises, et dans l’immense majorité des cas, c’est réalisé par des experts extérieurs pour les mêmes raisons…<br /> PS : je ne suis pas expert en sécurité informatique, mais je travaille dans ce milieu depuis de nombreuses années.
Murphy-Law
+1 :<br /> Clubic.com – 4 Oct 21<br /> Apple corrige discrètement une faille dans iOS 15 (et refuse de créditer le...<br /> Une faille de sécurité a discrètement été corrigée dans la version 15.0.1 d'iOS.<br />
Voir tous les messages sur le forum

Lectures liées

Microsoft a (encore) signé un pilote qui était en fait un logiciel malveillant
Campus Cyber, le vaisseau amiral de la cybersécurité française, ouvrira ses portes en février 2022
Cybersécurité : les entreprises délaissent le mot de passe et se tournent vers l'authentification biométrique
Guerre de l'information : le ministère des Armées se dote d'une
Google communique sur les attaques informatiques qui visent les youtubeurs depuis 2019
L'Argentine victime d'un piratage hors norme, les données de Lionel Messi dans le lot
La Chine et la Russie soupçonnées d'ingérences numériques, ces mesures qui vont permettre de surveiller la campagne présidentielle
Une vulnérabilité critique découverte dans un langage de programmation utilisé pour des mods de jeux vidéo
Plusieurs vulnérabilités ont été trouvées dans WP Fastest Cache, un plugin WordPress populaire
Acer s’est fait voler des données pour la deuxième fois et par le même groupe de hackers
Haut de page