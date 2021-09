Les chercheurs mécontents du programme "Bug Bounty" d'Apple

Apple propose un programme de primes aux bogues (Bug Bounty) conçu pour récompenser les chercheurs en sécurité pour la découverte et le signalement de failles critiques dans les systèmes d'exploitation de la marque. Mais les experts ne sont pas satisfaits de son fonctionnement et surtout des primes d'Apple par rapport à d'autres grandes entreprises technologiques, comme le rapporte le Washington Post.

Apple serait un mauvais payeur

Lors d'entretiens avec plus de deux douzaines de chercheurs en sécurité, le Washington Post a recueilli un certain nombre de plaintes. Apple prend (trop) son temps pour corriger les bogues et, surtout, ne paie pas toujours ce qui est prévu.



Apple en 2020 a versé 3,7 millions de dollars, environ la moitié des 6,7 millions de dollars que Google a payés aux chercheurs, et bien moins que les 13,6 millions de dollars que Microsoft a déboursés de son côté. Alors que d'autres sociétés comme Facebook, Microsoft et Google mettent en avant les chercheurs en sécurité qui trouvent des bogues majeurs, organisent des conférences et fournissent des ressources pour encourager un large éventail de participants, Apple ne le fait pas.

Les chercheurs en sécurité ont déclaré qu'Apple limite les commentaires sur les bogues qui recevront une prime, et les anciens et actuels employés d'Apple expliquent qu'il y a carrément un "arriéré massif" de bogues qui n'avaient pas encore été résolus.



La réticence d'Apple a même encouragé certains chercheurs à dévoiler des failles à des clients comme des agences gouvernementales ou des entreprises privées qui proposent des services de piratage.



Le responsable de l'ingénierie et de l'architecture de sécurité d'Apple, Ivan Krstić, a déclaré au Washington Post qu'Apple estime que le programme a été un succès et quelle a doublé le montant qu'il a payé en primes de bogues en 2020 par rapport à 2019. Apple est, cependant, toujours travailler à faire évoluer le programme et offrira de nouvelles récompenses à l'avenir.

Nous prévoyons également d'introduire de nouvelles récompenses pour les chercheurs afin de continuer à élargir leur participation au programme, et nous continuons à rechercher des moyens d'offrir de nouveaux outils de recherche encore meilleurs qui répondent à notre modèle de sécurité de plate-forme rigoureux et leader du secteur.

La fondatrice de Luta Security, Katie Moussouris, a déclaré au quotidien américain que la mauvaise réputation d'Apple auprès de la communauté de la sécurité pourrait à l'avenir conduire à des "produits moins sécurisés" et à "un surcoût".



Le programme de bug bounty d'Apple promet des récompenses allant de 100 000 $ à 1 000 000 $, et Apple fournit également à certains experts des iPhones spéciaux dédiés à la recherche en matière de sécurité. Ces iPhones sont moins verrouillés que les appareils grand public et sont conçus pour faciliter la découverte des vulnérabilités et des faiblesses de sécurité.



Sam Curry, un chercheur en sécurité qui a travaillé avec Apple en 2020, a déclaré qu'il avait fait part de ses commentaires à Apple et qu'il avait l'impression que l'entreprise était consciente de la façon dont elle était perçue et "essayait d'aller de l'avant". Selon le Washington Post, Apple a embauché cette année un nouveau responsable pour le programme de primes aux bogues, tout cela va donc dans le bon sens.