Linus Henze a informé Apple de tous les détails concernant un bogue découvert dans le logiciel de sécurité macOS Keychain, et ce, sans aucun paiement de la part de la société.
Auparavant, il dissimulait ces informations pour protester contre le manque de Bug Bounty pour Mac, mais affirme à présent que le problème est trop important pour le garder pour lui-même.
Linus Henze, un adolescent allemand, a envoyé à Apple tous les détails d'un exploit pour la sécurité qu'il avait démontré au début de février . Il l'a fait malgré le fait que la société avait ignoré ses conditions précédentes. Henze dit qu'il a décidé de révéler les détails à Apple parce que le bogue qu'il a découvert "est très critique et que la sécurité des utilisateurs de MacOS est importante pour moi".
J'ai décidé de soumettre mon exploit de trousseau à @Apple, même s'ils n'ont pas réagi, car il est très important et que la sécurité des utilisateurs de macOS est importante pour moi. Je leur ai envoyé tous les détails, y compris un correctif. Gratuitement, bien sûr.
- Linus Henze (@LinusHenze) 28 février 2019
Le jeune homme de 18 ans avait découvert un bogue macOS qui permettait aux applications de voir les mots de passe dans la fonction de sécurité du trousseau de Mojave. Il a développé une application qu'il a appelée KeySteal pour le démontrer, mais a initialement refusé d'informer Apple. Henze protestait contre le fait qu'Apple ne dispose pas d'un programme Bug Bounty pour macOS comme pour iOS.
Apple s'est adressé à Henze pour lui demander des nouvelles de sa découverte, mais pas pour discuter de ses demandes. Le 8 février, il a de nouveau envoyé un courrier électronique, réitérant ses conditions, mais n'a apparemment reçu aucune réponse.
Il n’a été signalé aucun cas d’utilisation de cet exploit par des applications malveillantes, mais AppleInsider a expliqué que les utilisateurs concernés peuvent s’assurer de leur sécurité en ajoutant un mot de passe supplémentaire au trousseau de connexion.
Bien qu'Apple ait un programme de primes pour les chercheurs qui découvrent des problèmes de sécurité dans iOS, on a même qualifié ce programme de radin par rapport à d'autres entreprises .
Source : appleinsider
Commenter cet article