Apple se retrouve dans une situation délicate : un chercheur en sécurité excédé par le fonctionnement du programme de bug bounty de la marque a finalement décidé de publier les preuves de concepts de quatre failles de type Zéro Day qui concernent iOS.

Denis Tokarev rejoint ainsi une liste grandissante de développeurs et spécialistes en sécurité informatique qui dénoncent les lourdeurs du programme Bug Bounty d'Apple. Il est ainsi de plus en plus difficile de se faire créditer les découvertes, Apple a de plus en plus de mal à catégoriser les failles de façon pertinente et rechigne également à payer les chercheurs...

ios-15

Excédé par ces pratiques, Denis Tokarev a donc décidé de publier sur son github les preuves de concept de 4 failles de type zéro day, contraignant Apple à réagir dans la plus grande urgence pour développer un patch. Habituellement, les chercheurs et Apple travaillent de concert pendant plusieurs mois pour aboutir à des correctifs, et ce n'est que quelques mois après la publication du patch que les chercheurs partagent leur découverte au public.

Sur les 4 failles transmises à Apple, 1 a été corrigée le 19 juillet dernier, sans créditer le chercheur au passage. Les trois autres sont toujours en place malgré des rapports envoyés à Apple entre mars et mai dernier.

Les failles en question permettent à des applications d'accéder à des informations personnelles, voire de prendre le contrôle total de l'appareil. Elles sont particulièrement dangereuses dans le cadre de l'organisation d'une attaque malveillante.

24h après la publication des preuves de concept sur Internet par Tokarev, ce dernier a été contacté par Apple qui lui indique que les équipes sont toujours en train d'enquêter sur les problèmes rapportés...