Une faille de sécurité a discrètement été corrigée dans la version 15.0.1 d'iOS.
Apple ne l'a pas précisé dans la page dédiée aux mises à jour de sécurité et n'a pas crédité le chercheur à l'origine de la découverte.
Une faille corrigée en secret
Le 1er octobre, Apple a sorti iOS 15.0.1 afin de corriger le bug de déverrouillage entre l'iPhone 13 et l'Apple Watch. Mais l'entreprise en a aussi profité pour corriger une vulnérabilité découverte et démontrée par Jose Rodriguez en septembre, qui permet de contourner l'écran de verrouillage de l'iPhone. Le problème est que ce correctif n'est indiqué nulle part et le chercheur n'est par conséquent pas crédité.
Jose Rodriguez avait publié en septembre une démonstration de la vulnérabilité, pour protester contre le système de bug bounty d'Apple. Il avait indiqué sur Twitter ne pas avoir été payé correctement pour d'autres vulnérabilités du même genre : « Apple valorise les signalements de problèmes de ce type en leur accordant jusqu'à 25 000 dollars, mais pour avoir signalé un problème plus grave, j'ai été récompensé par 5 000 dollars ». L'entreprise n'avait de plus pas corrigé correctement les failles en question et n'avait pas communiqué avec le chercheur à ce sujet.
Nul doute que ce nouveau refus de créditer un chercheur comme il se doit pour le signalement d'une faille continuera d'alimenter la colère des professionnels de la sécurité.
Source : Ubergizmo
