Sans réponse de la part d’Apple plusieurs mois après leur avoir signalé l’existence de vulnérabilités dans iOS, un chercheur a décidé de publier des preuves de concept pour ces failles sur GitHub.
Ce qui est vraiment dommage dans cette attitude d’Apple, c’est que ces chercheurs en sécurité, qui sont à priori des « white hat », mais qui veulent aussi vivre correctement de leur travail de recherche, risquent de devenir des « black hat » et vendre leurs découvertes aux plus offrant, genre à NSO Group (Pegasus) et autre…
Pensez-y Apple…
@HAL1 : vous avez raison, soyons précis : c’est d’Apple, pas du reste des GAFAM dont il est question…
Les GAFAM semblent ne pas avoir du tout de service après vente ou même d’employer pour gérer le publique.
Ils ne connaissent que la publicité et le marketing. Une fois leurs intérêts dans un contrat réalisé, en général l’autre partie peut aller voir ailleurs s’il y sont.
Il faut ajouter que nous sommes des étrangers pour les GAFAM, le sentiments de « USA first » est quand même très présent dans bon nombre d’entreprises américaines.
C’est sûr, un peu ce que disait les inconnus : « il ne faut jamais dire aux gens qu’ils sont cons mais ne jamais oublier qu’ils le sont »
Le meilleur pour la fin se trouve en suivant la source de l’article :
"While some developers have found Apple’s Security Bounty program rewarding, others share the frustration expressed by IllusionOfChaos. In July, 2020, Jeff Johnson, who runs app biz Lapcat Software, went public with a privacy bypass vulnerability because Apple failed to fix the bug he had reported. At the time, he told The Register, « Talking to Apple Product Security is like talking to a brick wall. »
« The Register asked Apple to comment, but the brick wall did not respond. »
Je dois avouer que j’ai un peu de mal à comprendre pourquoi les 3 premiers commentaires parlent des « GAFAM », sachant que c’est Apple qui est en cause ici (et ce n’est de loin pas nouveau que la Pomme est particulièrement mauvaise quand il s’agit de récompenser les chercheurs en sécurité) et que l’article ne mentionne à aucun moment Google, Amazon, Facebook et Microsoft…
En effet, Apple est un GAFAM. Sauf que ce qui arrive à un des GAFAM ne s’applique pas nécessairement aux autres. Et c’est exactement le cas ici.
Et alors ?
Pour qu’il y ait le moindre sens logique à cet argument pour l’utiliser ici, il aurait fallu pouvoir dire « les gafam sont apple ». Ce qui n’est pas le cas.
Cet amalgame entre les GAFAM et cette histoire est surtout une grosse erreur, car justement les bugs bounty sont plutôt bien intégrés dans ces sociétés, car ça leur coûte moins cher de récompenser le white hat que de subir le black hat, ou de payer des gens à chercher en interne.
En tout cas, c’est pas le truc sur lequel on peut leur faire le plus de reproches…
L’histoire avec les GAFAM c’est juste pour pouvoir cracher sur quelqu’un… C’est tout…
Genre le mec est un fanboy d’Apple, donc il va dire : oui les GAFAM c’est de la merde.
Au lieu de simplement être honnête pour une fois dans sa vie et reconnaître que sur le coup Apple prend les gens pour des cons…
Puisqu’on vous dit que c’est l’OS le plus sécurisé du monde, arrêtez de regarder il n’y a rien à voir !
En plus, ce n’est pas écologique de regarder un programme où il n’y a rien à voir.
J’ai oublié un truc ?
S’il fallait faire un tel scandale chaque fois qu’un patron traite mal ses employés ou ses sous traitants….
Mais dans quel monde on vit pour que chaque problème individuel devienne « le quart d’heure de gloire » mondial…
Gnagna, mal payé… que c’est nouveau !!
Gnagna mal considéré…. Ohhhhh surprenant !!!
Gnagna manque de reconnaissance… stupéfiant !!
C’est vraiment très très puéril.
Hier il fallait plaindre les malheureux traders qui ne faisaient jamais que spéculer honnêtement sur les assurances vies pendant le 11 septembre.
Maintenant, faut pleurer le sort de malheureux informaticiens dont le but est de vivre sur les faiblesses d’un système informatique.
Mouais, bien sûr qu’on ne vis pas dans un monde de bisounours…
Sauf que si ces « malheureux informaticiens » n’existaient pas, de nombreux systèmes informatiques continueraient d’être « troués » sans que personne ne s’en aperçoive, et par rebond, Monsieur MqcdupouletBasquez, vous seriez bien dans l’embarras quand vous vous feriez pirater vos informations sensibles (comptes bancaires, etc…). Et oui, les pirates aussi savent qu’on n’est pas chez les bisounours…
Le problème ici, c’est que si Apple dit : je te paie xxx Dollars si tu trouves une faille, et qu’après il ne tiens pas son engagement, non seulement il est en tort, mais en plus, et surtout, il fragilise la sécurisation de ses produits.
Expert en cybersécurité, c’est un métier comme un autre, qui demande des compétences, du temps de formation, et qui mérite aussi une rémunération juste, comme le métier que vous avez certainement… ce n’est pas de la polémique.
Si on monte en épingle ce genre d’information, c’est justement parce que les bisounours n’existent pas, et qu’il faut chaque fois se battre pour faire reconnaitre les droits et les devoirs de chacun…
ah, j’avais déja l’impréssion que toutes nos données médicales étaient disponible sur le net et que ce n’est pas une grande nouveauté et j’ai régulièrement un rappel de google pour m’informer que mon mot de passe est diffusé un peu partout sur internet et qu’il serait judicieux d’en changer.
Concernant le « problème » Apple, c’est pas extrêmement nouveau, c’est déplaisant, je n’en disconviens pas mais pas « nouveau ».
Quel journaliste pigiste n’a jamais eu de mal à se faire payer par un employeur peu scrupuleux,
je pense que le milieu de l’informatique n’est pas différent des autres.
je n’apprécie pas de base le métier qui consiste à vivre en signalant des failles de sécurité, mais j’allais dire, on s’en fout un peu (beaucoup) et honnêtement, je le comprend.
Après c’est un vrai-faux débat, c’est un métier, j’en ai un aussi et comme vous dites, c’est toujours facile de dénigrer le métier de quelqu’un.
Apple a fait une politique, qu’elle l’a respecte, point.
J’entend cet arguement pleinement, j’ai juste du mal à compatir avec ces gens (ces informaticiens) qui semblent découvrir le monde.
Je pense qu’on a tous universellement dans tous les métiers y compris indépendant des problèmes pour se faire payer.
Je n’ai rien contre ce monsieur qui divulgue des failles de sécurité critiques, c’est son choix, ça ne me concerne pas.
C’est à Apple de sécuriser son systeme.
A la base, ils sont sensés avoir leurs propres cybersécurité, payer des sommes si faramineuses pour découvrir des failles, pfffffffff…
Enfin bon on va tourner en rond, oui je juge, j’assume, ça me fait un peu bizarre d’entendre quelqu’un réclamer 25.000$ pour 1 faille de sécurité quand je me fais chier à bosser 14-15h par jour à soigner des gens. J’ai pas envie de changer de métier, je trouve juste juste que 25K pour ça, c’est cher payé, mais c’est un jugement personnel et de valeur.
Mais je vais chiant et honnête, filer du fric à des gens pour taper sur une balle avec une raquette de Tennis, ça me fait halluciner aussi. Mais c’est la vie ^^
Les 25000$ c’est Apple qui les propose… donc le « contrat » est de son fait…
Soigner des gens comme vous le faites, c’est un très beau métier, et on ne peut évidemment pas comparer son utilité à celui de trouver des failles informatiques…
Cependant, dans votre métier, vous avez aussi accepté un « contrat », et un salaire.
Quel que soit le métier, ou le travail, si une partie ne respecte pas le « contrat », elle est en tort - Point.
Si vous n’étiez pas payé pour votre travail, je serai également de ceux qui réagiraient.
Alors on pourrait discuter longtemps sur le fait de parler, ou pas, de ce genre de news, mais là comme vous le laissez entendre, c’est purement un jugement de valeur.
Moi, ce que je vois, c’est qu’Apple, malgré sa richesse, ne respecte pas sa parole (son contrat de bug bounty avec les experts en cybersécurité), et surtout mets en danger son écosystème logiciel…
Une chose aussi que peut-être vous ne discernez pas complètement : si des sociétés de création de logiciels font appel à des intervenants externes, c’est parce qu’elles savent qu’un tel regard extérieur est souvent nécessaire pour trouver des failles, et cela malgré des processus de débogage avancés, et l’utilisation d’équipes distinctes pour trouver en interne les failles. Pourquoi ? parce que souvent, on a « le nez dans le guidon » et on ne voit plus certaines choses.
Le métier d’expert indépendant en sécurité informatique est donc nécessaire : ce ne sont pas des parasites, et ils méritent d’être payés aussi… au prix que fixent les sociétés qui désirent les solliciter…
En corolaire, le Pentest (ou test d’intrusion) est une pratique courante dans les entreprises, et dans l’immense majorité des cas, c’est réalisé par des experts extérieurs pour les mêmes raisons…
PS : je ne suis pas expert en sécurité informatique, mais je travaille dans ce milieu depuis de nombreuses années.
+1 :