Apple fait une nouvelle fois l’objet de critiques sévères concernant son programme de primes aux bugs, grâce auquel l’entreprise souhaite en fait assurer la sécurité de ses appareils et de ses systèmes d’exploitation. Un groupe d’experts réputés en matière de sécurité informatique estime que le programme public de recherche de bogues, lancé par Apple il y a cinq ans, présente encore des problèmes majeurs. Les professionnels de la sécurité se plaignent auprès de la Washingon Post Entre autres choses, trop peu de communication, de longs retards de la part d’Apple, et un système trop complexe et confus quant à ce qui va être récupéré et combien dans les failles découvertes.

Apple communique trop peu – également avec les chercheurs

Katie Moussouris, fondatrice de la société de sécurité Luta Security, qui a elle-même aidé le ministère américain de la défense à mettre en place son propre programme de primes aux bugs, a résumé la situation comme suit : « Il s’agit d’un programme d’amélioration de la sécurité. [Programm]où la maison gagne toujours. » Apple avait « une mauvaise réputation dans le secteur de la sécurité », ce qui aurait pour conséquence que ses produits seraient « moins sûrs pour les clients », ce qui augmenterait également les coûts.

En fait, Apple avait récemment failli à ses clients sur plusieurs fronts. On ne sait toujours pas si toutes les failles exploitées par le logiciel espion problématique Pegasus ont été corrigées – Apple refuse catégoriquement de donner des détails. En outre, l’entreprise prévoit de mettre en place un scanner d’abus d’enfants très controversé directement sur les iPhones et les iPads, ce qui aurait brisé des promesses explicites de confidentialité.

Les problèmes de bug bounty, qui ont été réduits par rapport aux Washington Post Les problèmes confirmés par plus de deux douzaines de chercheurs en sécurité concernent, entre autres, le travail sur les bogues signalés. Ces problèmes sont peu à peu corrigés et il arrive encore et encore que les primes communiquées n’aient pas été versées. Selon les hackers whitehat, cela se voit déjà dans les montants totaux des paiements. En 2020, par exemple, seuls 3,7 millions de dollars US de primes sont sortis des caisses d’Apple, Google a atteint 6,7 et Microsoft 13,6 millions de dollars. Bien sûr, cela est également lié à la taille des vulnérabilités, mais Apple exploite une plateforme de taille énorme avec, par exemple, plus d’un milliard d’iPhones sur le marché. Apple communique également son programme de bug bounty avec retenue. Google mentionne souvent les chercheurs dans ses éloges, Apple ne les mentionne que brièvement dans les crédits de ses mises à jour.

Un arriéré massif de bogues ?

En outre, il y aurait un « arriéré massif » de bogues signalés, comme le rapportent des initiés. Globalement, il y a un manque d’ouverture de la part d’Apple. Ivan Krstic, l’un des plus importants responsables de la sécurité de l’entreprise, a commenté que le programme était « un succès » et qu’Apple a versé deux fois plus d’argent en 2020 qu’en 2019.

Toutefois, elle a déclaré qu’elle était toujours en train de « mettre à l’échelle » le programme. Il y aura de « nouvelles récompenses pour les chercheurs » à l’avenir afin d’accroître la participation. Ils sont constamment à la recherche de nouveaux moyens de fournir de meilleurs outils de recherche « qui correspondent à notre modèle de sécurité rigoureux, à la pointe du secteur ». Apple offre désormais des iPhones déverrouillés à des chercheurs sélectionnés. À l’avenir, il sera encore plus facile de signaler les vulnérabilités, a déclaré la société. Apple aurait également engagé un nouveau responsable pour le programme de primes aux bugs.

[bsc)