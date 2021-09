Apple ignore l'alerte d'un chercheur en sécurité puis s'excuse

Hier à 23:12 (Màj hier à 23:12)

Julien Russo

Avec son programme de récompense en cas de découverte d'une faille de sécurité, les chercheurs en sécurité sont nombreux à chercher des problèmes de sécurités à l'intérieur des OS d'Apple. Denis Tokarev avait trouvé plusieurs vulnérabilités zero-day dans iOS, malheureusement le chercheur a été ignoré par Apple lors de sa remontée.

Apple s'excuse

Denis Tokarev est un chercheur en sécurité qui a une expérience exceptionnelle et une longue carrière derrière lui. Il y a quelques mois, Tokarev avait réalisé une remontée à Apple pour signaler la découverte de plusieurs vulnérabilités dans iOS 14, il souhaitait que la firme de Cupertino corrige ces anomalies le plus rapidement possible pour la sécurité des millions d'utilisateurs dans le monde.



Le problème, c'est que quand Denis Tokarev a dévoilé sa découverte à Apple, l'entreprise l'a complètement ignoré. Une situation que n'a pas comprise le chercheur en sécurité, puisqu'il est habitué à la réactivité et à l'efficacité quand il découvre des failles dans l'OS d'une grande compagnie.



Se retrouvant face à un mur et ayant connaissance d'importantes failles de sécurité, Denis Tokarev a décidé de publier un article de blog pour rendre publique sa découverte. Visiblement, l'idée a été bonne puisque cela a fait réagir Apple qui l'a vite contacté pour en savoir plus !

Le chercheur en sécurité s'est confié au média Motherboard, il a expliqué qu'il a fallu quelques jours avant que des salariés de l'Apple Park se rapprochent de lui afin d'obtenir des détails sur sa découverte.

Voici ce que la firme de Cupertino lui a dit :

Nous avons vu votre article de blog concernant ce problème et vos autres rapports. Nous nous excusons du retard pris pour vous répondre. Nous voulons vous faire savoir que nous enquêtons toujours sur ces problèmes et sur la façon dont nous pouvons les résoudre pour protéger les clients. Merci encore d'avoir pris le temps de nous signaler ces problèmes, nous apprécions votre aide. N'hésitez pas à nous faire savoir si vous avez des questions.

Une vulnérabilité remontée par Denis Tokarev a été corrigée dans iOS 14.7, mais trois autres sont toujours d'actualité. La première permet d'accéder à l'adresse mail et au nom complet de l'Apple ID via le Game Center, la seconde aux jetons d'authentification de l'Apple ID et la troisième à la liste des contacts et à certaines pièces jointes.

Autant dire que ce ne sont pas des failles de sécurité "dramatiques", mais elles permettent quand même de récupérer des données personnelles qui peuvent servir après dans des reventes d'informations d'utilisateurs.



Le programme qui récompense les chercheurs en sécurité a fait récemment l'objet d'un mécontentement dans le Washington Post. De nombreux spécialistes ont déclaré qu'Apple prenait beaucoup de temps pour corriger les failles de sécurité dans ses mises à jour et que les récompenses financières prenaient du temps à être versées, voire ne l'était jamais dans certains cas.