La plupart des éditeurs de logiciels ont adopté un programme de prime à la découverte de vulnérabilités de sécurité. Ce qui leur permet de découvrir et de corriger plus rapidement les vulnérabilités. Et qui rend possible aux chasseurs de bogues de vivre de leur talent.
Apple a lancé un tel programme pour iOS, mais, contrairement aux usages de l’industrie, ce programme est secret et sur invitation seulement. Pour macOS, aucun programme n’est disponible.
Afin de protester contre cet oubli regrettable, Linus Henzle, un spécialiste indépendant de cybersécurité, a démontré dans une vidéo des vulnérabilités jour zéro (inconnues à ce jour, et pour lesquelles aucune solution connue de neutralisation ou d’affaiblissement n’est connue) de macOS, qui pourraient être exploitées par des logiciels malveillants afin de collecter des mots de passe, des clés privées, et des jetons de sécurité.
Un autre spécialiste de cybersécurité, Patrick Wardle, un ancien de la NSA, a obtenu une copie de l’exploit, et a pu confirmer les dires de Henze:
Got to play with @LinusHenze‘s ‘KeySteal’. It’s a lovely bug & exploit ??
✅ works on macOS 10.14.3
✅ his payload dumps passwords, private keys, & tokensProtect yourself by:
?manually locking your keychain
?or setting a keychain-specific passwordhttps://t.co/K1hhjraH60— patrick wardle (@patrickwardle) February 6, 2019
En revanche, aucun détail n’a été transmis à Apple, en protestation de l’absence d’un programme de primes à la chasse aux vulnérabilités pour macOS.
Henzle tonne qu’il ne s’agit pas d’avidité – c’est pourquoi il refuse d’attribuer un prix à sa découverte – mais pour que les chasseurs de bogues de macOS obtiennent la reconnaissance qu’ils méritent de l’entreprise de Cupertino, et pour qu’un programme de prime à la chasse aux vulnérabilités soit lancé pour macOS.
Pour mémoire, le résultat net d’Apple pour son exercice 2018 s’élevait à 59,5 milliards de dollars, soit 143,3 millions d’euros de bénéfice par jour…
Interrogée, l’entreprise n’avait pas de commentaire à faire.
Cette semaine, un autre chercheur s’est plaint au site The Register, sur l’avarice de certains grands groupes comme Sony, qui ne l’a rémunéré qu’avec un t-shirt, pour ses découvertes et ses partages d’information sur des vulnérabilités de sécurité critiques de deux sites webs de Sony et de Sony Pictures.