Apple se met à dos les hackers qui lui soumettent des bugs, Réactions à la publication du 20/10/2021

[Lionel]

Afin d'éviter que ses failles de sécurité ne soient vendues sur le marché ou dévoilées de manière très précoce, Apple a lancé un programme permettant aux hackers de les leur déclarer et même d'obtenir des récompenses parfois conséquentes.
Les choses ne se passent toutefois pas toujours bien dans les relations contractuelles entre Apple et ces personnes.
Ainsi, ces derniers mois certains se sont plaints qu'Apple veuille les museler en les empêchant de parler de leur découverte une fois soumise (ce qui est compréhensible), tout en ne corrigeant pas les failles même au bout de quelques mois. Pour cela Google et son projet zéro est bien plus intransigeant. Si les failles déclarées ne sont pas comblées au bout de 90 jours, elles sont rendues publiques.
D'autres se sont plaints plus récemment de ne pas avoir été rétribués bien que les failles aient été comblées, et ce, sans aucune information de la part d'Apple.
Dernier problème en date, des personnes se sont plaintes car elles n'ont pas été créditées de la découverte de la faille une fois comblée. Apple a ensuite expliqué qu'elle ne pouvait pas le faire a posteriori.

Bref, les relations entre Apple et ces hackers sont souvent tendues. Nous le déplorons même si nous n'en sommes pas surpris. Apple n'a pas l'habitude de considérer qui que ce soit comme son égal, tout au plus son vassal ou un partenaire utile.
Pourtant, c'est certainement le domaine dans lequel elle devrait faire le plus d'effort. On a maintenant les preuves que la société est loin d'être infaillible malgré l'image qu'elle véhicule savamment. Il ne faudrait surtout pas qu'elle dissuade qui que ce soit de lui soumettre une faille plutôt que de la vendre au plus offrant. Or, c'est pour éviter cela que son programme de prime à la faille a été mis en place.

Lien vers le billet original

[JayTouCon]

bon

ben les prochaines failles seront rendues publiques et certains indiqueront la date depuis laquelle cette faille existe.

il n'y a pas de faille sous iOS c'est android ké toupourri
il n'y a pas de faille sous mac, les virus c'est que sur pc

oh ! regardez la haut , Facebook et la vie privée.

[regiscorrs]

Oui, rien de vraiment surprenant…

Par contre, je me demande à quelle date ils ont prévu de changer de logo, de remplacer la pomme par un gros melon… MDR

[Padbol38]

Une fois de plus, Apple et sa maladie du contrôle quasi Stalinien de l'information...
Les règles du jeu doivent être claires et respectées, sinon ça perd tout son intérêt.
Un peu pénible si des failles ne sont pas corrigées en plusieurs mois quand même !! J'imagine que pour des raisons de release management, certaines doivent passer dans les màj majeures d'OS
Pour le reste, la réputation d'un hack se construit sur la découverte de ces failles. S'ils n'en tirent pas de pognon ou de "gloire", ils les exploiteront différemment...

[OKAVANGO]

C'est un domaine dont j'ignore tout, mais purée, rien que sur le principe c'est tout de même totalement incompréhensible de la part des dirigeants d'Apple.
Est-ce que c'est la volonté d'un seul homme ?

[g4hd]

…
D'autres se sont plaints plus récemment de ne pas avoir été rétribués bien que les failles aient été comblées, et ce, sans aucune information de la part d'Apple.
Dernier problème en date, des personnes se sont plaintes car elles n'ont pas été créditées de la découverte de la faille une fois comblée..

S’il y a plusieurs informateurs en même temps, pour une même info, comment départager les prétentions ?
Je présume que ça doit être fréquent.
D’autant plus que les ingénieurs maison en charge de construire les logiciels doivent évidemment s’auto-corriger sans l’aide de hackers extérieurs.
D’autre part, est-ce que ces découvertes non rémunérées concernent aussi les versions bêta ?… dont le but est précisément de tester le bon fonctionnement et révéler les bugs.

[Pat94]

Bonjour,

Comme nous dit "g4hd" :

D’autre part, est-ce que ces découvertes non rémunérées concernent aussi les versions bêta ?… dont le but est précisément de tester le bon fonctionnement et révéler les bugs.

Attention là on ne parle pas de bugs, mais de faille de sécurité touchant le plus souvent le noyau du système et ce malgré toutes les soi disantes protections, qui bloque l'utilisateur de l'Os (mais c'est pour notre bien, dixit Apple ) mais n'arrête pas les Hackers

Ce message a été modifié par Pat94 - 20 Oct 2021, 09:37.

[ekami]

La radinerie d'Apple est légendaire, mais hélas méconnue.
AMHA, le grand Timonier de Cupertino n'y est pas pour rien.

[kabuka]

Oui, rien de vraiment surprenant…

Par contre, je me demande à quelle date ils ont prévu de changer de logo, de remplacer la pomme par un gros melon… MDR

made my day

[Xample]

je vais soumettre un bug mais leur demander de me verser en amont le montant pour que je le fasse, une fois payé je leur dit qu'il n'y a pas de bug mais que je ne peux pas rembourser a posteriori.

[iAPX]

C'est pire que cela puisque Apple ne veut pas reconnaître certaines "bugs", donc refuse aussi de nommer les Chercheurs en Sécurité les ayant trouvés, et pour cela essaye de lier le paiement à une clause de confidentialité totalement anormale.

Ces "bugs" là mettent d'ailleurs un temps énorme pour être résolues.

J'ai mon opinion sur ces "bugs", je dirais que sans faire de l'humour ça ressemble à des "features"

PS: j'ai été créateur et responsable d'un programme de Bug Bounty pour un développeur d'App Mobile, ainsi qu'acteur principal d'un second pour un groupe lié aux évènements, festivals et spectacles, on le faisait nous de bonne foi et ça a été extrêmement sympa avec des personnes très pro-actives et s'impliquant dans la résolution, ce qui nous a amené d'ailleurs a distribuer des bonus pour les remercier, en sus de nos échelles liées aux scores CVSS, et moi-même auteur d'un CVSS 9 sur MySQL il y a longtemps.

[X_Gebo]

S’il y a plusieurs informateurs en même temps, pour une même info, comment départager les prétentions ?

La moindre des choses serait alors d'en parler, clairement, avec les "informateurs". En fait des gens qui ne trouvent pas "par hasard" des trous de sécurité, mais bien qui les recherchent - pour le bien commun, parce que j'ai cru comprendre qu'une faille vaut de l'or dans certains milieux pas bien fréquentables.

[iAPX]

S’il y a plusieurs informateurs en même temps, pour une même info, comment départager les prétentions ?

La moindre des choses serait alors d'en parler, clairement, avec les "informateurs". En fait des gens qui ne trouvent pas "par hasard" des trous de sécurité, mais bien qui les recherchent - pour le bien commun, parce que j'ai cru comprendre qu'une faille vaut de l'or dans certains milieux pas bien fréquentables.

C'est ce qui va arriver avec Apple, mais en même temps les failles sous iOS, même les meilleures (Root Remote Execution w/o User Interaction grosso merdo), sont bien moins payées que pour Android: il y en a plus qui s'échangent pour iOS, abaissant ainsi leur cours...

[zero]

Il n'y a pas que les failles du système qui sont exploitées.

https://www.lemonde.fr/pixels/article/2021/...43_4408996.html

Les fameuses "applications de l'App store infaillibles puisque signées".

Les utilisateurs Mac/iphones sont de plus en plus vus comme de gros pigeons à déplumer.

Ce message a été modifié par zero - 20 Oct 2021, 13:45.

[vlady]

J'ai lu quelque par que cet état de fait est voulu par Apple. Ils ont des équipes en interne qui cherchent eux aussi des bugs. Et correctement rémunérer les "externes" pourrait encourager les "internes" à quitter l'entreprise pour être mieux payé en faisant le même travail...

[ungars]

Il n'y a pas que les failles du système qui sont exploitées.

https://www.lemonde.fr/pixels/article/2021/...43_4408996.html

Les fameuses "applications de l'App store infaillibles puisque signées".

Les utilisateurs Mac/iphones sont de plus en plus vus comme de gros pigeons à déplumer.

Hallucinant, cet article en effet ! Mais du coup iOS ne détecte pas qu'il télécharge depuis autre chose que l'App Store officiel avec ce système...

[Guest_anonym_d019ede3_*]

bon

ben les prochaines failles seront rendues publiques et certains indiqueront la date depuis laquelle cette faille existe.

il n'y a pas de faille sous iOS c'est android ké toupourri
il n'y a pas de faille sous mac, les virus c'est que sur pc

oh ! regardez la haut , Facebook et la vie privée.

Ça a commencé, j'ai lu il y a 1 mois - 1,5 mois environ, qu'un gars avait publié une faille publiquement, signalée depuis des mois et non prise en compte par Apple, donc ni résolue ni rémunérée… Je ne retrouve plus l'article là de suite, mais ça m'avait même surpris qu'on en parle pas ici à ce moment.

[chombier]

Security is our focus:
https://www.clubic.com/pro/entreprises/appl...le-victime.html

USB is bad:
https://hitek.fr/actualite/apple-etudiant-h...ns-iphone_31215

Long life to La Pomme.

[Tom25]

Je ne veux pas défendre Apple, elle doit respecter ses engagements.
Toutefois, si je trouve le moyen de retirer de l'argent d'un distributeur de billets sans que cela né débite mon compte, et que je demande de l'argent au fabricant de ce distributeur sinon j'utilise la faille sur chaque banque ayant ce distributeur. Et je donne la manip à tous mes potes.
Faut pas oublier que je reste un voleur.

Tout cela ne veut dire qu'une seule chose, c'est que nous (la société, les états en général) n'ont quasiment pas de moyen pour contrer ces abus. La seule solution est de payer ceux qui pourraient être complice de ces délits.

[Guest_anonym_d019ede3_*]

Je ne veux pas défendre Apple, elle doit respecter ses engagements.
Toutefois, si je trouve le moyen de retirer de l'argent d'un distributeur de billets sans que cela né débite mon compte, et que je demande de l'argent au fabricant de ce distributeur sinon j'utilise la faille sur chaque banque ayant ce distributeur. Et je donne la manip à tous mes potes.
Faut pas oublier que je reste un voleur.

Tout cela ne veut dire qu'une seule chose, c'est que nous (la société, les états en général) n'ont quasiment pas de moyen pour contrer ces abus. La seule solution est de payer ceux qui pourraient être complice de ces délits.

Faut pas oublier que là on n'est dans un cas de figure où l'on parle de "hackers" mais en fait on devrait plutôt parler de chercheurs en sécurité informatique indépendants. (Edit : indépendant d'Apple).

Certains bossent pour des boites d'antivirus et autres en sécurité, d'autres pour Google etc. (oui certains chercheurs de Google cherchent les failles d'Apple : une courte recherche vous pointe les articles).

D'autres sont indépendants mais en font une activité à part entière.

Alors le travail effectué via un programme (d'ailleurs officiel d'Apple) comme il y en a ailleurs également, doit être rémunéré comme annoncé par la pomme.

Le but n'étant pas de se servir des failles mais bien de les présenter à la firme.

Par contre, n'étant pas payés, et les failles pas prises en compte avec les traces de leurs messages etc. si les chercheurs publient les failles publiquement, alors qu'elles auraient pu être exploitées par d'autres entre deux depuis longtemps, Apple ne peut même pas plaider la faille zéro day puisqu'au courant.

Ça les met juste devant le fait, et c'est très bien.

Ce message a été modifié par anonym_d019ede3 - 21 Oct 2021, 11:21.

[Benzebut]

Il n'y a pas que les failles du système qui sont exploitées.

https://www.lemonde.fr/pixels/article/2021/...43_4408996.html

Les fameuses "applications de l'App store infaillibles puisque signées".

Les utilisateurs Mac/iphones sont de plus en plus vus comme de gros pigeons à déplumer.

Hallucinant, cet article en effet ! Mais du coup iOS ne détecte pas qu'il télécharge depuis autre chose que l'App Store officiel avec ce système...

Pas vraiment hallucinant et vieille ruse de l'usurpation de l'identité. Il s'agit là simplement de l'utilisation d'un compte de test pour permettre l'installation d'une application associée. Le téléchargement est faisable puisque l'utilisateur a donné son accord pour le faire, tout en sachant que cela ne vient pas de l'AppStore officiel. Et cela ne remet pas en question la fiabilité des applications signées dans l'AppStore, puisque justement cela utilise des certificats de tests qui sont détournés de leurs usages. Ni le certificat, ni la procédure n'ont été cassés. Surtout que ces comptes une fois identifiés, sont fermés par Apple.
Même stratégie que le déguisement des forces de l'ordre pour rentrer dans les appartements pour des contrôles de routine pour voir si tout va bien...

[xav_mtx]

Je ne veux pas défendre Apple, elle doit respecter ses engagements.
Toutefois, si je trouve le moyen de retirer de l'argent d'un distributeur de billets sans que cela né débite mon compte, et que je demande de l'argent au fabricant de ce distributeur sinon j'utilise la faille sur chaque banque ayant ce distributeur. Et je donne la manip à tous mes potes.
Faut pas oublier que je reste un voleur.

Tout cela ne veut dire qu'une seule chose, c'est que nous (la société, les états en général) n'ont quasiment pas de moyen pour contrer ces abus. La seule solution est de payer ceux qui pourraient être complice de ces délits.

En fait, c'est un usage courant dans le milieu des chercheurs en secu (white hat).
Ils decouvrent une faille, previennent le developpeur/fabricant.
Attendent que la faille soit comblee dans un delais raisonnable (ils se mettent d'accord avec le dev).
Puis ils publient le resultat de leur recherche et devoilent la faille, une fois qu'elle est corrigee.
Cette derniere partie est tres importante pour les chercheurs, c'est la base de leur metier, c'est ce qui sert a faire leur reputation. Sans cette derniere, le chercheur n'a absolument aucun interet a aider le "dev" a ameliorer et securiser son produit.

Le programme de bug bounty est juste la pour inciter un peu plus les chercheurs a se pencher sur leur produits. Ca ne remet pas du tout en question l'usage cite plus haut. C'est aussi, bien plus efficace que de se contenter d'avoir des chercheurs en interne.

[fced]

Ce n'est pas nouveau.
C'est un sujet délicat que de parler d'une faille en publique après tout on ne sait pas qui écoute, mais ma foi, au bout de 90 jours, c'est plutôt gentil.
Les beta testeurs et white hackers devraient être remercié et dument rétribué lorsqu'ils trouvent une faille, et encore plus si ils sont capable d'apporter le correctif.

Une minute ce n'est pas comme ça qu'a démarré la vague de virus envers microsoft il y a des années ? Un hacker découvre une faille, il la signale, on l'ignore, et il se dit je vais me faire entendre en créant un virus.