AccueilActualités informatiqueChercheurs en sécurité : Apple corrige un bogue sans donner d'indications sur...

Chercheurs en sécurité : Apple corrige un bogue sans donner d’indications sur son auteur

Apple semble continuer à corriger des bogues dans ses mises à jour du système d’exploitation relatives à la sécurité sans en informer les utilisateurs. Depuis un certain temps déjà, l’entreprise ne remplit les notices officielles de ses mises à jour de sécurité que par bribes. Il faut parfois des semaines ou des mois pour que les identifiants CVE, les descriptions de bogues et les crédits soient ajoutés. Parfois, Apple semble vouloir éviter d’exploiter des vulnérabilités non corrigées en raison d’un manque de pénétration des mises à jour, mais les raisons pour lesquelles la société utilise cette tactique restent souvent obscures. Un chercheur en sécurité bien connu a fait l’expérience de ce problème à plusieurs reprises.

Sommaire

Les lacunes déjà rendues publiques par Denis Tokarev, alias « illusionofchaos », seraient les suivantes ont simplement été fermés par Apple dans iOS 15.0.2sans qu’aucun détail ne soit disponible. Par frustration envers Apple, M. Tokarev avait simplement rendu publics plusieurs bugs qui n’avaient pas encore été corrigés et grâce auxquels des applications non autorisées pouvaient accéder aux données des utilisateurs.

Le chercheur en sécurité indique qu’il avait déjà signalé les quatre vulnérabilités zero-day à Apple au printemps. Cependant, le fabricant n’a corrigé qu’un seul d’entre eux avec iOS 14.7 et ne l’a pas documenté dans les notes de version de sécurité destinées au public. Tokarev n’a pas non plus été récompensé dans le cadre du programme de primes aux bugs.

Quelque chose de similaire s’est produit avec iOS 15.0.2 : Apple a corrigé l’une des vulnérabilités déjà publiées. Cela est même mentionné dans la notice d’emballage, mais il a été attribué à un « chercheur en sécurité anonyme ». Le crédit qui est si important dans la scène était absent. Apple avait précédemment annoncé qu’elle s’excusait pour le crédit manquant dans iOS 14.7 et qu’il y avait eu un « problème de traitement ».

Tokarev est particulièrement contrarié par les réactions erratiques d’Apple. Dans un premier temps, la société s’était même excusée auprès du chercheur en sécurité. Ils avaient vu « la publication sur le blog en rapport avec ce problème et vos autres rapports ». « Nous nous excusons pour le retard dans notre réponse », a déclaré succinctement la société.

Plus d'articles