Les chercheurs en sécurité devront-ils communiquer publiquement les failles iOS avant leurs correctifs pour qu'Apple les prenne au sérieux ? Ce n'est pas souhaitable, car la divulgation de vulnérabilités sans qu'un patch n'ait été livré au préalable représente un vrai danger non seulement pour Apple, mais aussi et surtout pour les utilisateurs.
Mais parfois, le constructeur ne donne pas d'autre choix. Denis Tokarev, alias « illusionofchaos », a rendu publique la semaine dernière plusieurs failles de sécurité touchant iOS ; si une d'entre elles a été corrigée dans iOS 14.7, trois autres sont toujours présentes dans iOS 15.
Apple traine toujours autant des pieds pour récompenser les chercheurs en sécurité
Tokarev a prévenu Apple de ces trois failles entre le 10 mars et le 29 avril. Il a reçu un accusé de réception au mois d'août, puis plus rien. Le 13 septembre, il prévient qu'il publiera des informations sur ces vulnérabilités à moins que le constructeur revienne vers lui.
Apple a bel et bien répondu… mais après la publication de son billet dévoilant les vulnérabilités en question. « Nous avons vu votre billet à propos du problème et vos autres rapports. Nous sommes désolé pour le délai de réponse », écrit un employé.
Autrement dit, il a fallu que le chercheur fasse du barouf et qu'il soit repris par la presse pour qu'Apple se décide à reprendre contact. Au passage, ce n'est pas sans rappeler ce que les développeurs doivent trop souvent faire pour obtenir des explications sur telle décision de l'App Store.
Quoi qu'il en soit, Apple enquête toujours sur les trois failles en question et sur la manière dont elles pourraient être corrigées. Heureusement, ce ne sont pas des vulnérabilités critiques ; pour qu'elles soient exploitées il faudrait installer une application malveillante, or seul l'App Store peut les distribuer non sans passer auparavant par le tamis d'Apple.
La Pomme a annoncé récemment une amélioration de son programme de chasse aux bugs, et surtout un travail de fond pour s'attirer de nouveau les faveurs des chercheurs en sécurité.
Apple va bonifier son bug bounty pour attirer des chercheurs en sécurité pas très enthousiastes
Source : Vice