Failles iOS : un hacker d'élite de Google défie Apple de donner 2,5 M$ d'impayés

Le par  |  4 commentaire(s)
iOS-colere

Le renommé Ian Beer n'est pas un fan de la culture de la sécurité d'Apple avec iOS. Il est l'auteur d'une petite provocation pour mieux se faire entendre.

Pour ceux qui épluchent les notes de version des mises à jour de sécurité d'Apple, le nom de Ian Beer n'est pas étranger. Il apparaît régulièrement dans la liste des découvreurs de vulnérabilités affectant le système d'exploitation de l'iPhone (mais aussi du Mac).

Ian Beer est un chercheur en sécurité informatique britannique membre du Project Zero de Google. Il a même été le premier à publier ses trouvailles sous l'égide de Project Zero alors que ce groupe de hackers d'élite pour la quête de failles 0-day était encore largement mystérieux en 2014.

Les trouvailles de Ian Beer ont parfois aidé au jailbreak pour des version d'iOS. Elles ont aussi pu obliger Apple à réécrire des parties conséquentes du noyau iOS (et macOS).

Lors de la conférence Black Hat USA 2018 qui vient d'avoir lieu, Ian Beer a dressé une liste de 30 vulnérabilités de sécurité affectant iOS qu'il a dénichées depuis 2016, contribuant ainsi à l'amélioration de la sécurité de ce système d'exploitation mobile (via ses rapports).

Sur la base de cette liste, il met au défi Tim Cook, le patron d'Apple, de donner pour près de 2,5 millions de dollars à l'organisation non gouvernementale internationale Amnesty International impliquée dans la défense des droits de l'Homme et qui a été la cible d'une cyberattaque a priori attribuée à un État. Selon son calcul, le montant de cette somme représenterait l'équivalent des rétributions du programme de Bug Bounty pour sa trentaine de vulnérabilités iOS.

En 2016, Apple a convié des hackers (uniquement sur invitation ; Ian Beer n'a pas été invité) à lui faire part de bugs touchant iOS et l'iPhone, avec jusqu'à 200 000 $ pour les plus critiques (pour des composants du micrologiciel de boot sécurisé). La rétribution peut être doublée si elle est reversée à une œuvre de bienfaisance. Ian Beer a été particulièrement prolifique dans la découverte de failles dont l'exploitation permet une exécution de code arbitraire avec les privilèges kernel (un type de vulnérabilité normalement rétribuée à hauteur de 50 000 $).

Désormais, il interpelle Tim Cook pour le paiement de chacun de ses bugs de sécurité en fonction de la grille tarifaire du Bug Bounty d'Apple. D'après Motherboard, ce programme a connu un démarrage timide, attirant peu de chercheurs tiers.

Ian Beer se veut évidemment un tantinet provocateur vis-à-vis d'Apple dont il critique la culture quand il s'agit de sécurité pour iOS, et pour patcher des bugs de sécurité plutôt que d'en tirer des leçons afin de pouvoir mieux agir ultérieurement. Il s'inquiète notamment des attaques ciblées de type APT (Advanced Persistent Threat) visant des utilisateurs d'iPhone avec des cyberarmes sophistiquées.

En mettant de côté le fait que Ian Beer est impliqué dans Project Zero... de Google, sa petite provocation illustre une nouvelle fois les relations tendues que peuvent entretenir les chercheurs en sécurité avec Apple.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2026625
Il me plaît bien lui
Le #2026644
Google qui finance une association gauchiste et partiale...
Pourquoi ne sommes nous pas surpris ?
Le #2026661
Ben la prochaine trouvaille il invite Apple à faire la même chose sinon il menace de refiler le hack sur le net (sans le faire bien sûr, ou alors juste ci c'est un petit truc pas méchant et contrable rapidement).
Le #2026674
"un tantinet provocateur vis-à-vis d'Apple dont il critique la culture" "Ian Beer est impliqué dans Project Zero... de Google".

A oui, c'est vrai la culture de google est tellement meilleure...
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme