Apple s’excuse auprès d’un chercheur après avoir ignoré ses failles dans iOS 15
Le chercheur en sécurité Denis Tokarev indique qu’Apple l’a contacté concernant les failles qu’il a trouvées dans iOS et qui ne sont toujours pas corrigées. Il a récemment critiqué le comportement d’Apple.
Des excuses d’Apple auprès d’un chercheur en sécurité
« Nous avons vu votre article de blog concernant ce problème et vos autres signalements. Nous nous excusons du retard pris pour vous répondre », a écrit un employé d’Apple au chercheur en sécurité. « Nous voulons vous faire savoir que nous enquêtons toujours sur ces problèmes et sur la façon dont nous pouvons les résoudre pour protéger les clients. Merci encore d’avoir pris le temps de nous signaler ces problèmes, nous apprécions votre aide. N’hésitez pas à nous faire savoir si vous avez des questions ».
Denis Tokarev a signalé à Apple quatre failles au niveau d’iOS. Cela remonte au mois mars et Apple en a seulement corrigé une seule avec iOS 14.7. Et encore, le travail n’a pas été bien fait, puisqu’Apple n’a pas cité le nom du chercheur comme l’auteur de la découverte.
Les trois autres failles, qui existent encore dans iOS 15, concernent le Game Center (pour permettre à toute application installée à partir de l’App Store d’accéder à l’adresse e-mail et d’autres informations des utilisateurs), les jetons d’authentification des comptes Apple, l’accès aux listes de contacts et à certaines pièces jointes.
Des critiques de divers chercheurs en sécurité
La façon dont Apple gère le processus n’est « pas normale et ne devrait pas être considérée comme normale » estime Katie Moussouris, experte en cybersécurité. Pour sa part, le chercheur Nicholas Ptacek juge que la réponse d’Apple ressemble à une « réaction à la mauvaise presse ». En effet, le fabricant a seulement réagi et présenté après des articles parus sur plusieurs sites.
Ce n’est en tout cas pas la première fois que le programme de corrections de failles d’Apple est critiqué. Il y a quelques semaines, plusieurs chercheurs en sécurité ont fait savoir qu’Apple était lent à réagir et ne payait pas toujours ce qui était dû. Apple a depuis promis qu’il va faire des améliorations. Cela concerne aussi bien de meilleures récompenses qu’une meilleure gestion générale.
6 mois après quel culot
Les chercheurs doivent fixer le delai eux memes comme le fait google. Au bout du delai la faille est rendue publique
heureusement pour APPLE qu’il reste encore quelques personnes avec un bon sens de la morale car ce genre de failles sont prêtes à être payé un bon pactole par des organismes bcp plus généreux et reactifs