Corellium contre-attaque. Cet été, Apple a porté plainte contre cette société qui permet, entre autres, de virtualiser iOS et réaliser différentes tâches. Les développeurs et hackers aiment bien cet outil puisqu’il offre de nombreux accès et peut être utilisé pour trouver des failles de sécurité. Problème : virtualiser iOS n’est pas une pratique autorisée, d’où la plainte d’Apple.

La société pense que sa façon de virtualiser iOS est un « usage loyal », à tel point qu’elle assure qu’elle aide les chercheurs à trouver des failles de sécurité qui sont ensuite rapportées à Apple et corrigées avec des mises à jour d’iOS, ce qui est bénéfique pour les utilisateurs. La possibilité d’avoir plusieurs virtualisations d’iOS en même temps accélère le processus de recherche et de découverte.

Mais comment Corellium a-t-elle pu virtualiser iOS ? La société a mis la main sur des iPhone « dev-fused » qui sont normalement réservés aux employés Apple et qui offrent beaucoup d’accès sur iOS. Corellium a ensuite pu créer son outil et le rendre accessible sur le Web.

Corellium tente donc de se défendre en assurant que ses clients trouvent les failles pour les rapporter à Apple, sauf que ce n’est pas toujours le cas. La société Azimuth Security par exemple dit garder les failles qu’elle trouve pour créer des outils qui sont ensuite vendus aux autorités. De plus, certains chercheurs ne rapportent pas les failles à Apple ou ils les vendent à des tiers parce qu’ils paient mieux qu’Apple.

Et pour ajouter une couche, Corellium assure qu’Apple est au courant depuis son existence depuis des années, au point d’avoir invité l’un des cofondateurs à rejoindre son programme de récompenses pour trouver des bugs. Il a rapporté sept bugs au total mais n’a jamais été payé. Selon lui, Apple lui doit 300 000 dollars pour les découvertes.