Close Menu
    Mises à jour

    Apple a bouché une faille zero-day dans iOS 15.0.2 sans toutefois créditer le chercheur

    Marc Olivier TelfortBy Updated:Un commentaire2 Mins Read

    iOS 15.0.2

    Apple a publié la version d’iOS 15.0.2 (et d’iPadOS 15.0.2) le 11 octobre dernier. C’était l’occasion pour le constructeur de boucher une faille zero-day. Toutefois, la faille n’a pas été découverte par Apple ; elle a été retrouvée par le chercheur en sécurité Denis Tokarev, aka illusionofchaos sur Twitter. Apple a corrigé la faille en question sans toutefois créditer le chercheur.

    Dans un article, le chercheur Denis Tokarev a exposé en détail la faille, zero-day nommée Gamed, qui permettrait à toute application installée depuis l’App Store d’avoir accès aux données personnelles des utilisateurs comme l’e-mail et le nom complet, un token facilitant la connexion au compte, la liste des contacts, les photos de la liste des contacts et plus encore. Maintenant, Denis Tokarev a fait savoir qu’Apple a corrigé la faille Gamed zero-day qu’il a découvert dans d’iOS 15.0.2 (et d’iPadOS 15.0.2) sans le créditer.

    À dire vrai, Apple n’a pas crédité Denis Tokarev dans le passé. Après que la première faille zero-day ait été découverte par Tokarev et signalée à Apple et que le chercheur n’a pas été crédité quand la faille a été corrigée dans la version d’iOS 14.7 rendu disponible le 19 juillet dernier, Apple a répondu à Denis Tokarev : « En raison d’un problème de traitement, votre crédit sera inclus dans les notes de sécurité dans une prochaine mise à jour. Nous nous excusons pour le dérangement. »

    Apple refuse de créditer les chercheurs

    Denis Tokarev n’est pas le seul à vivre cette histoire avec le fabricant d’iPhone. En effet, nous retrouvons d’autres chercheurs de bugs et chercheurs en sécurité qui ont également annoncé avoir vécu des expériences similaires lors du signalement de vulnérabilités à l’équipe de sécurité des produits d’Apple via le programme Apple Security Bounty. Certains ont déclaré que les bugs signalés à Apple avaient été résolus en silence et la société ne leur accorde aucun crédit, comme cela s’est produit dans le cas de Denis Tokarev.

    D’autre part, nous retrouvons d’autres chercheurs qui racontent qu’ils n’ont pas reçu le montant indiqué sur la page officielle des primes d’Apple ou n’ont pas reçu de paiement, tandis que d’autres sont restés dans l’ignorance pendant des mois sans réponse à leurs e-mails.

    https://twitter.com/illusionofcha0s/status/1448269165417148418

    https://twitter.com/illusionofcha0s/status/1448269171855400961

    Share.

    Amoureux de l’informatique, de la psychologie et plus généralement de l’high-tech. Je suis rédacteur chez appsystem.fr et app4phone.fr. Fan inconditionnel des produits Apple, j’essaye de transmettre ma passion au travers de mes publications.

    Related Posts

    Un commentaire

    Leave A Reply