Apple a bouché une faille zero-day dans iOS 15.0.2 sans toutefois créditer le chercheur

Apple a publié la version d’iOS 15.0.2 (et d’iPadOS 15.0.2) le 11 octobre dernier. C’était l’occasion pour le constructeur de boucher une faille zero-day. Toutefois, la faille n’a pas été découverte par Apple ; elle a été retrouvée par le chercheur en sécurité Denis Tokarev, aka illusionofchaos sur Twitter. Apple a corrigé la faille en question sans toutefois créditer le chercheur.

Dans un article, le chercheur Denis Tokarev a exposé en détail la faille, zero-day nommée Gamed, qui permettrait à toute application installée depuis l’App Store d’avoir accès aux données personnelles des utilisateurs comme l’e-mail et le nom complet, un token facilitant la connexion au compte, la liste des contacts, les photos de la liste des contacts et plus encore. Maintenant, Denis Tokarev a fait savoir qu’Apple a corrigé la faille Gamed zero-day qu’il a découvert dans d’iOS 15.0.2 (et d’iPadOS 15.0.2) sans le créditer.

À dire vrai, Apple n’a pas crédité Denis Tokarev dans le passé. Après que la première faille zero-day ait été découverte par Tokarev et signalée à Apple et que le chercheur n’a pas été crédité quand la faille a été corrigée dans la version d’iOS 14.7 rendu disponible le 19 juillet dernier, Apple a répondu à Denis Tokarev : « En raison d’un problème de traitement, votre crédit sera inclus dans les notes de sécurité dans une prochaine mise à jour. Nous nous excusons pour le dérangement. »

Apple refuse de créditer les chercheurs

Denis Tokarev n’est pas le seul à vivre cette histoire avec le fabricant d’iPhone. En effet, nous retrouvons d’autres chercheurs de bugs et chercheurs en sécurité qui ont également annoncé avoir vécu des expériences similaires lors du signalement de vulnérabilités à l’équipe de sécurité des produits d’Apple via le programme Apple Security Bounty. Certains ont déclaré que les bugs signalés à Apple avaient été résolus en silence et la société ne leur accorde aucun crédit, comme cela s’est produit dans le cas de Denis Tokarev.

D’autre part, nous retrouvons d’autres chercheurs qui racontent qu’ils n’ont pas reçu le montant indiqué sur la page officielle des primes d’Apple ou n’ont pas reçu de paiement, tandis que d’autres sont restés dans l’ignorance pendant des mois sans réponse à leurs e-mails.

Seems that they don't have a separate protocol on handling reports which were already disclosed. And if this message contains a legit excuse, they could save a tiny bit of reputation by making it public. But it's up to them, I won't disclose full message until I get credit. 2/3 pic.twitter.com/iG6waUELtk

— Denis Tokarev (@illusionofcha0s) October 13, 2021

However, they haven't replied to my second email continuing to ignore my questions about analyticsd vulnerability which I asked exactly a month ago. pic.twitter.com/sFUhMzvAAU

— Denis Tokarev (@illusionofcha0s) October 13, 2021

#Faille #faille de sécurité iPhone #faille sécurité ios #faille sécurité iPhone #iOS 15.0.2 #sécurité

Publié par

Marc Olivier Telfort

Amoureux de l’informatique, de la psychologie et plus généralement de l’high-tech. Je suis rédacteur chez appsystem.fr et app4phone.fr. Fan inconditionnel des produits Apple, j’essaye de transmettre ma passion au travers de mes publications.