fbpx

Il est de notoriété publique qu’Apple rémunère peu, voir pas du tout les chercheurs de faille de sécurité travaillant sur les différents OS de la firme. Aujourd’hui, un chercheur indépendant en a eu assez et à tout simplement décidé de refuser de donner à la Firme sa méthode pour accéder au coffre-fort de mots de passe de MacOS.

Une faille critique pour MacOS

Linus Henze est un chasseur de failles de sécurité, et il  vient de trouver une faille importante dans le coffre-fort des mots de passe de macOS.
Elle permet à n’importe quelle application installée sur le système d’accéder aux précieux codes secrets, sans avoir besoin des droits d’administrateur. C’est plutôt grave, car l’application stocke les mots de passe de tous les services en ligne, comme les messageries ou les réseaux sociaux. Elle permet également d’accéder aux notes sécurisées.
Pour exploiter cette faille, il suffit qu’un attaquant diffuse une application pirate à condition qu’elle soit installée par un utilisateur. Aucune version d MacOS n’y échappe.

Apple radin avec les chercheurs de faille indépendants.

Le chercheur en sécurité refuse de transmettre les détails techniques de son attaque à la firme à la pomme. La raison est limpide :  c’est parce qu’Apple ne propose pas de programme de récompenses.La firme, en effet, ne paye que pour les failles trouvées sur iOS. Et encore, pour espérer toucher de l’argent, il faut faire partie des chercheurs de sécurité qu’Apple a trié sur le volet. Une manière de faire qui n’est pas très « ouverte » et qui est souvent critiquée dans le milieu des chercheurs en sécurité.

Un bras de fer qui s'engage

Pour Linus Henze, c’en était trop et l’expert semble bien déterminé à ne plus travailler gratuitement pour Apple. Selon ZDnet, l’équipe de sécurité informatique d’Apple a déjà pris contact avec lui pour avoir des détails sur la faille de sécurité, mais il est resté intraitable: il n’y aura pas d’informations tant qu’il n’y aura pas de programme officiel de récompenses.

"Tout cela peut donner l’impression que je fais juste ça pour de l’argent, mais ce n’est pas du tout le cas. Ma motivation est d’inciter Apple à créer un programme de bug bounty. Je pense que c’est la meilleure solution pour Apple et pour les chercheurs en sécurité. J’adore les produits Apple et je veux améliorer leur sécurité"

Linus Henze

« En attendant la résolution de ce conflit, il faut espérer que des pirates ne vont pas trouver, à leur tour, le moyen d’exploiter cette faille. Dans ce cas, tout le monde sera perdant. Pour se protéger un peu, la seule solution semble être de verrouiller à la main les dossiers qui sont ouverts par défaut, à savoir « session » et « Éléments locaux ». Ou de paramétrer un verrouillage automatique à partir d’un certain temps. Mais c’est contraignant au niveau de l’usage, car il faut alors renseigner le mot de passe maître à chaque fois que l’utilisateur veut se connecter quelque part. »

01net

Une chose est sûre, cette nouvelle histoire égratine un peu plus l’image de marque d’Apple, qui vante sa sécurité. Bien que l’info ne soit pas nouvelle, cette affaire ressort aux yeux de tous la radinerie de la marque qui s’en serait bien passée, elle qui est depuis quelques moi dan le dur avec ses ventes d’iPhones à la baisse.

Author

Write A Comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Pin It
%d blogueurs aiment cette page :