Apple propose un programme de primes aux bogues conçu pour rémunérer les chercheurs en sécurité pour la découverte et le signalement de bogues critiques dans les systèmes d'exploitation Apple, mais les chercheurs ne sont pas satisfaits de son fonctionnement ou des paiements d'Apple par rapport à d'autres grandes entreprises technologiques, rapporte Le Washington Post .
comment répondre aux appels sur airpods pro
Lors d'entretiens avec plus de deux douzaines de chercheurs en sécurité, Le Washington Post recueilli un certain nombre de plaintes. Apple est lent à corriger les bogues et ne paie pas toujours ce qui est dû.
Apple en 2020 a versé 3,7 millions de dollars, environ la moitié des 6,7 millions de dollars que Google a payés aux chercheurs, et bien moins que les 13,6 millions de dollars que Microsoft a payés. Alors que d'autres sociétés comme Facebook, Microsoft et Google mettent en avant les chercheurs en sécurité qui trouvent des bogues majeurs et organisent des conférences et fournissent des ressources pour encourager un large éventail de participants, Apple ne le fait pas.
Les chercheurs en sécurité ont déclaré qu'Apple limite les commentaires sur les bogues qui recevront une prime, et les anciens et actuels employés d'Apple ont déclaré qu'il y avait un « arriéré massif » de bogues qui n'avaient pas encore été résolus.
La réticence d'Apple à être plus ouverte avec les chercheurs en sécurité a découragé certains chercheurs de fournir des failles à Apple, ces chercheurs les vendant plutôt à des clients comme des agences gouvernementales ou des entreprises qui proposent des services de piratage.
Ivan Krstić, responsable de l'ingénierie et de l'architecture de sécurité d'Apple, a déclaré Le Washington Post qu'Apple pense que le programme a été un succès et qu'Apple a doublé le montant qu'il a payé en primes de bogues en 2020 par rapport à 2019. Apple travaille cependant toujours à faire évoluer le programme et offrira de nouvelles récompenses à l'avenir.
« Nous prévoyons également d'introduire de nouvelles récompenses pour les chercheurs afin de continuer à élargir leur participation au programme, et nous continuons à rechercher des moyens d'offrir de nouveaux outils de recherche encore meilleurs qui répondent à notre modèle de sécurité de plate-forme rigoureux et leader du secteur. »
La fondatrice de Luta Security, Katie Moussouris, a déclaré Le Washington Post que la mauvaise réputation d'Apple auprès de la communauté de la sécurité pourrait à l'avenir conduire à des « produits moins sécurisés » et à « plus de coûts ».
Pommes programme de prime aux bogues promet des récompenses allant de 100 000 $ à 1 000 000 $, et Apple fournit également à certains chercheurs des iPhones spéciaux dédiés à la recherche en sécurité. Ces iPhones sont moins verrouillés que les appareils grand public et sont conçus pour faciliter la découverte des vulnérabilités et des faiblesses de sécurité.
Sam Curry, un chercheur en sécurité qui a travaillé avec Apple en 2020, a déclaré qu'il avait fait part de ses commentaires à Apple et qu'il avait l'impression que l'entreprise était consciente de la façon dont elle était perçue et 'essayait d'aller de l'avant'. Selon Le Washington Post , Apple a embauché cette année un nouveau responsable pour le programme de bug bounty, il pourrait donc bientôt voir des améliorations.
Articles Populaires