Apple : en trois mois, cinq hackers dénichent 55 bugs et gagnent 288 500 dollars de récompense

Publié le 09 octobre 2020 à 16h13

D’abord rémunérés 51 500 dollars, la médiatisation de leur histoire a poussé Apple à sortir le chéquier pour accorder une rétribution un peu plus conséquente…

Si vous êtes doué en informatique et que vous envisagiez de mettre à profit vos compétences dans des programmes de primes aux bugs, l’histoire de cinq pirates informatiques ayant amassé 288 500 dollars en trois mois de travail pour Apple devrait vous intéresser. Mais au départ, leurs émoluments étaient nettement moins conséquents.

55 vulnérabilités trouvées, certaines très critiques

Leur nom : Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb, Tanner Barnes. À l’origine, les cinq individus considéraient cette activité de recherche de bugs comme un moyen de glaner un peu d’argent supplémentaire pendant leur temps libre. Mais au fil des semaines, cette occupation est devenue une vraie besogne.

« Lorsque nous avons commencé ce projet, nous n'avions aucune idée du fait que nous allions passer un peu plus de trois mois pour le mener à bien », rapporte Sam Curry. « À l'origine, il devait s'agir d'un projet parallèle sur lequel nous travaillions de temps en temps, mais avec tout le temps libre supplémentaire que nous avons eu pendant la pandémie, nous avons fini par y consacrer quelques centaines d'heures ».

Pour Apple, l’équipe a déniché plus d’une cinquantaine de vulnérabilités, 55 pour être précis, dont certaines potentiellement très dangereuses. L’une permettait l’introduction d’un ver informatique capable de dérober automatiquement toutes les photos, vidéos et documents d’un compte iCloud. Une autre donnait la possibilité d’accéder aux codes sources d’Apple de plusieurs centaines d’application…

Vertueusement, les cinq pirates ont rapporté tous ces bugs à Apple qui s’est bien sûr empressé de les corriger. En guise de dédommagement, la marque à la pomme leur avait initialement reversé 55 100 dollars.

Finalement, Apple augmente la prime versée

Si cela représente une somme déjà conséquente, vous l’imaginez, elle est carrément dérisoire pour Apple et finalement assez peu élevée par rapport au travail fourni, à la fois en matière de temps consacré à cette tâche et des compétences requises.

Un rapide petit calcul donne un bon aperçu : 5 personnes, 55 vulnérabilités trouvés, 55 100 dollars, cela correspond environ à 200 dollars par faille trouvée par personne. Ramené sur trois mois, c’est donc un salaire d’à peine 3 675 dollars par tête.

Selon Dan Tentler, le fondateur de la société de sécurité Phobos, ce montant est « incroyablement bas ». Il explique : « 50 000 dollars est le montant que je m'attends à voir dans une évaluation de sécurité de deux à quatre semaines, mais les problèmes découverts par ces personnes incroyablement talentueuses valent des ordres de grandeur plus importants. Imaginez qu'un acteur malveillant découvre ces problèmes. Imaginez l'ampleur des dégâts. Apple signale que tout cela ne vaut que 50 000 dollars pour eux. Pour moi, c'est de la folie, et cela contredit toutes leurs énormes campagnes de marketing public sur la façon dont ils prennent la vie privée et la sécurité au sérieux ».

Depuis, Apple a octroyé davantage d’argent. La somme s’élève désormais à 288 500 euros. Sam Curry précise que l’entreprise leur a payé des récompenses pour 32 des 55 bugs signalés.

Des programmes « bug bounty » qui entraînent une certaine paupérisation ?

Toujours est-il que cette histoire en dit long sur ces programmes de « bug bounty », cadre dans lequel s’inscrit l’Apple Bug Bounty lancé il y a quatre ans. Pour les experts en cybersécurité, les recherches demandent souvent beaucoup d’investissement, et elles sont rarement payées à leur juste valeur. Sur Twitter, un ancien employé d’Apple s’amuse d’ailleurs du fait que « ces chasseurs sont vraiment une main-d'œuvre bon marché ».

Une situation dénoncée par le cabinet de conseil en cybersécurité Trail of Bits qui, dans un billet publié l’année dernière, s’insurgeait « qu’essayer de gagner sa vie en tant que programmeur en participant aux programmes de primes sur les bugs revient à se convaincre que l'on est assez bon au Texas Hold 'Em [Poker] pour quitter son emploi. »

Mais selon Katie Moussouris, spécialiste de ce genre de pratiques, « la vraie question est de savoir pourquoi Apple ne paye pas le même montant à des testeurs professionnels, en leur donnant la documentation technique au lieu de les laisser tâtonner et de leur faire perdre leur temps, afin qu’ils trouvent les mêmes choses voire plus en beaucoup moins de temps ».

Sources : Vice.com, SamCurry.net

Par Rémi Bouvet

Aucun résumé disponible

Articles de Rémi Bouvet

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Peter_Vilmen

Question, est-ce que vendre des vulnérabilités aux services de renseignement est illégal, ou y-a-t-il une exception ? Si c’est légal, ils se sont trompé de client

GRITI

Quelle radinerie quand on connaît l’argent dont dispose Apple! Cela en dit long sur la mentalité d’Apple.
N’en déplaise aux fans, à ceux qui défendent le fait que les entreprises ont pour but de gagner de l’argent ou à ceux qui défendent le capitalisme. Juste minable.
Et chapeau à ceux qui ont trouvé tous ces bugs.

cyrano66

Cette article est évidemment écrit pour avoir des réactions comme la vôtre.

Le bug bounty son existence et son principe de rémunération sont un peu plus compliqué que ça.
C’est pas une profession payée à l’heure.
Et les bugs Remontés ne sont pas toujours des failles de sécurité majeures et avérées.

Et citer les témoignages de deux professionnels de la cyber sécurité c’est comme demander à son garagiste ce qu’il pense des vidanges sauvages.

Évidemment qu’ils ne sont pas d’accord avec le principe du bug bounty et de la hauteur de la rémunération, c’est leur fond de commerce.

fat_clubic

La question est juste de savoir si cela coûterait plus à Apple si ces bugs étaient rendus plublics.

jbobby

La recherche de failles n’est pas un simple acte de mécanique parfaitement codifié, ça demande beaucoup de compétence et doit donc être payé comme il se doit. Les experts qui fournissent un travail à forte valeur ajoutée, mais qui ne le font pas ou peu payer (alors que d’autres en vivent) créent une concurrence déloyale et participent à la paupérisation de notre société. Certains se plaignent de la mondialisation et de la concurrence de certains pays de l’est qui fait fermer les usines françaises : là c’est du même acabit.

TAURUS31

Ah tiens, un fanboy Apple

cyrano66

Relisez bien mon commentaire.
Je ne prend pas du tout parti pour Apple.
Je suis critique sur l’article.
Être un peu objectif est plutôt le signe d’un sens critique et d’une ouverture d’esprit.

Et Mon monde à moi ne se divise en deux catégories, Les allergiques à Apple et les fanboys.
Mais visiblement l’article remplit parfaitement sa fonction on dirait. Des que Apple est plus ou moins le sujet d’un article ça bagarre en cours d’école.

sas-seb

Un peu déçu par l’attitude d’Apple qui a largement les moyens de payer. Surferait-elle sur l’Uberisation ? Bon, cette fois-ci elle a rattrapé le coup… Une faute à moitié pardonnée.

Quid de l’IA (Intelligence Artificielle) : que deviendront tous ces «pirates» lorsque l’IA sera capable toute seule d’assumer ce travail de déboggage et de recherche de failles de sécurité ?..

DrCarter95

Purée les crevards !

nnay07

Vous ne payez pas la vidange de votre voiture au prix d’un moteur neuf, même si les dégâts d’une vidange pas faite seraient énormes. Là c’est pareil: la compensation pour avoir trouver les bugs n’a pas à être celle des dégâts qu ils auraient pu provoquer.