Certains des plus grands noms de l’enquête sur la vulnérabilité de l’iPhone ont annoncé aujourd’hui leur intention de boycotter le nouveau programme SRD (Security Research Device) d’Apple en raison des limitations d’Apple sur le processus. divulgation de vulnérabilité.
La liste comprend Project Zero (l’équipe de recherche d’élite de Google), Will Strafach (PDG de la société de sécurité mobile Guardian), ZecOps (société de sécurité mobile qui a récemment découvert une série d’attaques sur iOS) et Axi0mX (chercheur en vulnérabilité iOS et auteur du Checkm8 iOS exploit).
Qu’est-ce que le programme Apple SRD?
Le programme SRD (Security Research Device) est unique parmi les fabricants de smartphones. À travers le programme SRD, Apple s’est engagé à vendre des iPhones à des chercheurs en sécurité.
Ces iPhones ont été modifiés pour permettre un accès plus profond au système d’exploitation iOS et au matériel de l’appareil afin que les chercheurs en sécurité puissent rechercher des bogues qu’ils pourraient normalement ne pas trouver sur les iPhones. standard où les fonctions de sécurité standard du téléphone empêchent les outils de sécurité d’analyser même les processus les plus enfouis.
Apple a officiellement annoncé le programme SRD en décembre 2019, lorsque la société a également élargi la portée de son programme de prime aux bogues pour inclure davantage de ses systèmes d’exploitation et plates-formes.
Bien que la société ait discuté du programme plus tôt l’année dernière, Apple n’a toutefois lancé le programme qu’aujourd’hui en publiant un site Web officiel de SRD et en envoyant des courriers électroniques aux chercheurs en sécurité et à certains chasseurs d’insectes. Le message visait à les inviter à s’inscrire au processus de vérification requis pour recevoir un iPhone jailbreaké.
Nouvelle restriction
Ce site Web contenait également les règles officielles du programme SRD, que les chercheurs en sécurité n’avaient pas eu l’occasion d’examiner en détail.
Mais si la communauté de la sécurité a accueilli l’annonce SRD d’Apple l’année dernière comme un premier pas dans la bonne direction, elle n’était pas très satisfaite d’Apple. aujourd’hui.
Selon les plaintes partagées sur les réseaux sociaux, il s’agit d’une clause particulière qui agace la plupart des chercheurs en sécurité: « Si vous signalez une vulnérabilité liée aux produits Apple, Apple vous donnera une date de sortie (généralement la date à laquelle Apple publie) mise à jour à Résolvez le problème.) Apple travaillera de bonne foi pour résoudre les vulnérabilités le plus rapidement possible. Jusqu’à la date de publication, vous ne pouvez pas discuter de la vulnérabilité avec d’autres. «
La clause permet à Apple de museler les chercheurs en sécurité. Cette clause donne à Apple un contrôle total sur le processus de divulgation des vulnérabilités. Cela permet au fabricant d’iPhone de définir la date de sortie des chercheurs en sécurité dans le cadre du programme SRD pour dire ou publier les vulnérabilités qu’ils découvrent dans iOS et iPhone. .
De nombreux chercheurs en sécurité craignent désormais qu’Apple exploite cette clause pour reporter des correctifs importants et fournir des mises à jour de sécurité indispensables en reportant la date de publication. D’autres craignent qu’Apple utilise cette clause pour censurer leur travail et les empêcher de publier quoi que ce soit sur leur travail.
Project Zero et d’autres décident de ne pas postuler
Ben Hawkers, chef de l’équipe Google Project Zero, a été le premier à avoir remarqué cette clause et à en comprendre les implications. « Il semble que nous ne puissions pas utiliser le dispositif de recherche de sécurité d’Apple en raison des restrictions de divulgation de vulnérabilités, qui semblent être spécifiquement conçues pour exclure Project Zero et d’autres chercheurs qui ont une politique de 90 jours », Hawkes a déclaré sur Twitter.
Le tweet de Hawkes a reçu beaucoup d’attention dans la communauté de la sécurité informatique, et d’autres chercheurs en sécurité ont rapidement suivi la décision de l’équipe. Will Strafach a également déclaré au site sœur de ZDNet, CNET, qu’il ne participerait pas au programme en raison de la même clause.
Sur Twitter, la société de cybersécurité ZecOps a également annoncé qu’elle allait ignorer le programme SRD et continuer à pirater les iPhones ordinaires.
Lors d’une conversation avec ZDNet, le chercheur en sécurité Axi0mX a déclaré qu’il envisageait de ne pas participer non plus.
«Les délais de divulgation sont la norme dans l’industrie. Ils sont nécessaires », a déclaré le chercheur.
« Apple demande aux chercheurs d’attendre indéfiniment, à la discrétion d’Apple, avant de pouvoir révéler des bogues dans le programme SRD. Il n’y a pas de date limite. C’est une pilule empoisonnée », a-t-il ajouté.
Alex Stamos, ancien responsable de la sécurité de l’information chez Facebook, a également critiqué la décision d’Apple, contribuant à un plus large éventail de décisions que l’entreprise a prises contre la communauté ces derniers mois. la cyber-sécurité. Sous ces différentes positions, nous pouvons intenter une action en justice contre une société de virtualisation d’appareils mobiles qui a aidé les chercheurs en sécurité à détecter les bogues iOS.
C’est une chose de voir des chercheurs en sécurité peu connus critiquer un programme de sécurité, mais c’en est une autre de voir les plus grands noms de l’industrie en attaquer un.
Les programmes de sécurité d’Apple sont obsolètes
On craint qu’Apple puisse abuser des règles du programme SRD pour enterrer les principaux bogues iOS, et des recherches sont justifiées, selon ceux qui ont suivi les programmes de sécurité d’Apple. Apple a déjà été accusé de la même pratique.
Dans une série de tweets publiés en avril, le développeur de macOS et iOS Jeff Johnson a critiqué la société pour ne pas être assez sérieuse dans son travail de sécurité.
« Je pense me retirer du programme Apple Security Bounty », Johnson a dit. «Je ne vois aucune preuve qu’Apple prend le programme au sérieux. J’ai entendu parler d’un seul paiement de prime et le bogue n’était même pas spécifique à Mac. De plus, Apple Product Security a ignoré mon dernier e-mail pendant des semaines. «
« Apple a annoncé le programme en août, l’a ouvert quelques jours avant Noël et n’a encore payé aucun chercheur en sécurité pour autant que je sache. C’est une blague. Je pense que l’objectif est de garder les chercheurs en sécurité le plus longtemps possible, dit Johnson.
Source: ZDNet.com