Apple ignore l'alerte d'un chercheur en sécurité puis s'excuse
Julien Russo- Il y a 3 ans (Màj il y a 3 ans)
- 💬 Réagir
- 🔈 Écouter
Avec son programme de récompense en cas de découverte d'une faille de sécurité, les chercheurs en sécurité sont nombreux à chercher des problèmes de sécurités à l'intérieur des OS d'Apple. Denis Tokarev avait trouvé plusieurs vulnérabilités zero-day dans iOS, malheureusement le chercheur a été ignoré par Apple lors de sa remontée.
Apple s'excuse
Denis Tokarev est un chercheur en sécurité qui a une expérience exceptionnelle et une longue carrière derrière lui. Il y a quelques mois, Tokarev avait réalisé une remontée à Apple pour signaler la découverte de plusieurs vulnérabilités dans iOS 14, il souhaitait que la firme de Cupertino corrige ces anomalies le plus rapidement possible pour la sécurité des millions d'utilisateurs dans le monde.
Le problème, c'est que quand Denis Tokarev a dévoilé sa découverte à Apple, l'entreprise l'a complètement ignoré. Une situation que n'a pas comprise le chercheur en sécurité, puisqu'il est habitué à la réactivité et à l'efficacité quand il découvre des failles dans l'OS d'une grande compagnie.
Se retrouvant face à un mur et ayant connaissance d'importantes failles de sécurité, Denis Tokarev a décidé de publier un article de blog pour rendre publique sa découverte. Visiblement, l'idée a été bonne puisque cela a fait réagir Apple qui l'a vite contacté pour en savoir plus !
Le chercheur en sécurité s'est confié au média Motherboard, il a expliqué qu'il a fallu quelques jours avant que des salariés de l'Apple Park se rapprochent de lui afin d'obtenir des détails sur sa découverte.
Voici ce que la firme de Cupertino lui a dit :
Nous avons vu votre article de blog concernant ce problème et vos autres rapports. Nous nous excusons du retard pris pour vous répondre. Nous voulons vous faire savoir que nous enquêtons toujours sur ces problèmes et sur la façon dont nous pouvons les résoudre pour protéger les clients. Merci encore d'avoir pris le temps de nous signaler ces problèmes, nous apprécions votre aide. N'hésitez pas à nous faire savoir si vous avez des questions.
Une vulnérabilité remontée par Denis Tokarev a été corrigée dans iOS 14.7, mais trois autres sont toujours d'actualité. La première permet d'accéder à l'adresse mail et au nom complet de l'Apple ID via le Game Center, la seconde aux jetons d'authentification de l'Apple ID et la troisième à la liste des contacts et à certaines pièces jointes.
Autant dire que ce ne sont pas des failles de sécurité "dramatiques", mais elles permettent quand même de récupérer des données personnelles qui peuvent servir après dans des reventes d'informations d'utilisateurs.
Le programme qui récompense les chercheurs en sécurité a fait récemment l'objet d'un mécontentement dans le Washington Post. De nombreux spécialistes ont déclaré qu'Apple prenait beaucoup de temps pour corriger les failles de sécurité dans ses mises à jour et que les récompenses financières prenaient du temps à être versées, voire ne l'était jamais dans certains cas.
Apple félicite un chercheur en sécurité qui lui a dérobé 2.5 millions de dollars
Un chercheur en sécurité révèle le mot de passe Twitter de Donald Trump !
L’armée sud-coréenne abandonne les iPhone pour des raisons de sécurité
La sécurité de Face ID mise en avant dans une pub pour l'iPhone 15 intitulée "Nice Try"
TikTok est aussi considéré comme un risque pour la sécurité nationale au Canada
Livre blanc "Se conformer à la DMA" : 600 nouvelles API et un risque pour la sécurité
