Apple a corrigé une faille zero-day dans iOS 15.0.2, mais n’a pas crédité le chercheur

iOS 15 iPhone Apple a corrigé une faille zero day dans iOS 15.0.2, mais na pas crédité le chercheur

Avec la version d’iOS 15.0.2 (et d’iPadOS 15.0.2) publiée le 11 octobre dernier, Apple a profité pour corriger une faille zero-day. Cette faille n’a pas été découverte par Apple, mais par le chercheur en sécurité Denis Tokarev, alias illusionofchaos sur Twitter. Toutefois, Apple a bouché la faille sans créditer le chercheur.

Dans un article, Denis Tokarev a détaillé la faille, zero-day nommée Gamed, qui permettrait à toute application installée à partir de l’App Store d’accéder aux données personnelles des utilisateurs telles que l’e-mail et le nom complet, un token facilitant la connexion au compte, la liste des contacts, les photos de la liste des contacts et plus encore. À présent, Denis Tokarev raconte qu’Apple a corrigé la faille Gamed zero-day qu’il a découvert dans la mise à jour de sécurité d’iOS 15.0.2 (et d’iPadOS 15.0.2) sans le créditer.

En effet, ce n’est pas pour la première fois qu’Apple ne crédite pas Denis Tokarev. Après que la première faille zero-day que Tokarev a découvert a été signalée à Apple et que ce dernier n’a pas été crédité lorsque la faille a été corrigée dans la version d’iOS 14.7 publiée le 19 juillet dernier, Apple lui a répondu : « En raison d’un problème de traitement, votre crédit sera inclus dans les notes de sécurité dans une prochaine mise à jour. Nous nous excusons pour le dérangement. »

Apple ne crédite pas les chercheurs

Cette histoire ne concerne pas uniquement Denis Tokarev. À vrai dire, d‘autres chercheurs de bugs et chercheurs en sécurité ont également déclaré avoir vécu des expériences similaires lors du signalement de vulnérabilités à l’équipe de sécurité des produits d’Apple via le programme Apple Security Bounty. Certains ont déclaré que les bugs signalés à Apple avaient été résolus en silence et la société ne leur accorde aucun crédit, comme cela s’est produit dans ce cas.

Par ailleurs, d’autres indiquent qu’ils n’ont pas reçu le montant indiqué sur la page officielle des primes d’Apple ou n’ont, tout simplement, pas reçu de paiement, tandis que certains sont restés dans l’ignorance pendant des mois sans réponse à leurs e-mails.

1 réflexion sur “Apple a corrigé une faille zero-day dans iOS 15.0.2, mais n’a pas crédité le chercheur”

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Retour haut de page