Apple a discrètement corrigé deux failles de sécurité connues avec iOS 15.0.2. Elles étaient connues, car le chercheur en sécurité Denis Tokarev qui avait la main dessus avait fini par lever le voile sur leur existence face au silence d’Apple, qui n’a pas réagi pendant des mois après avoir reçu ses informations.
Apple traine toujours autant des pieds pour récompenser les chercheurs en sécurité
Dans la foulée, Apple avait fini par donner un signe de vie, nouvelle preuve s’il en fallait que diffuser les informations auprès de la presse fonctionne pour motiver l’entreprise. La correction est finalement arrivée avec iOS 15.0.2, sortie dans la semaine, mais même alors, Apple n’a pas fait ce qu’il fallait. La firme de Cupertino avait alors prévenu qu’une faille de sécurité activement exploitée avait été corrigée par cette mise à jour, ce qui soulignait son importance, mais sans créditer l’auteur de la découverte.
iOS 15.0.2 bouche une faille qui a pu être exploitée
Comme il l’a indiqué sur Twitter le jour même, il s’agissait de l’une des failles dans iOS 15 qu’il a trouvées plus tôt cette année. La tradition veut que le chercheur en sécurité qui a remonté en premier l’information soit alors remercié — et normalement payé dans le cadre d’un programme de « bug bounty » —, mais cela n’a pas été le cas. Outre cette plainte publique, il a envoyé un mail à Apple, qui a répondu avec des informations confidentielles. Denis Tokarev n’a pas souhaité révéler leur contenu à ce stade, peut-être parce que le constructeur a promis de le nommer pour ses découvertes.
Quoi qu’il en soit, il reste encore deux failles de sécurité actives dans iOS 15, sur les quatre qu’il a signalées à Apple depuis le début de l’année. Au-delà du traitement peu cavalier réservé à ce chercheur en sécurité, ce sont tous les utilisateurs d’iPhone et iPad qui sont potentiellement mis en danger par le manque de sérieux de l’entreprise.
Source :
