L’équipe de sécurité de Google « Project Zero » a annoncé son intention de boycotte le nouveau programme de recherche sur la sécurité matérielle (SRD) d’Apple en raison des règles restrictives d’Apple concernant la détection des vulnérabilités.
La liste des comtés comprend également certains des plus grands noms de la recherche sur la vulnérabilité de l’iPhone: Will Strafach, la société de sécurité ZecOps et l’équipe de recherche sur la sécurité des vulnérabilités (Axi0mX).
Apple a promis de fournir des appareils iPhone modifiés aux chercheurs en sécurité via le programme, afin que ces appareils aient moins de restrictions et permettent un accès plus profond au matériel et au système d’exploitation (iOS), afin que les chercheurs en sécurité puissent rechercher des erreurs.
Apple a officiellement annoncé le programme SRD en décembre 2019, et le site Web d’Apple contient les règles officielles du programme SRD.
Selon les plaintes publiées sur les plateformes de médias sociaux, il existe une clause spécifique qui a scandalisé la plupart des chercheurs en sécurité.
L’article dit: Si vous signalez une vulnérabilité affectant les produits Apple, Apple vous fournira la date de publication (la date à laquelle Apple lance la mise à jour pour résoudre le problème), et Apple corrigera la vulnérabilité dès que possible, et vous ne pourrez pas discuter de la vulnérabilité avec d’autres avant la date de publication.
La clause permet à Apple de faire taire les chercheurs en sécurité et la clause donne à Apple un contrôle total sur le processus de détection des vulnérabilités.
Cet élément permet au fabricant d’iPhone de déterminer la date de publication, ce qui empêche les chercheurs en sécurité de parler ou de publier quoi que ce soit sur les vulnérabilités qu’ils découvrent dans (iOS).
De nombreux chercheurs craignent qu’Apple n’utilise cet élément à mauvais escient pour retarder les corrections importantes et retarder la publication des mises à jour de sécurité en reportant la date de publication, tandis que d’autres craignent qu’Apple utilise cet élément pour les empêcher de publier même sur leur travail.
Ben Hawkers, chef d’équipe de Project Zero, a été le premier à remarquer cet élément et à comprendre ses implications. Il a déclaré Hooks sur son compte Twitter officiel : « Il semble que nous ne pourrons pas utiliser le nouveau logiciel de sécurité d’Apple, à cause des restrictions pour divulguer les vulnérabilités de sécurité, et ces restrictions semblent être spécifiquement conçues pour exclure l’équipe Project Zero et les autres chercheurs qui utilisent la politique de 90 jours »
Le tweet de Hooks a attiré beaucoup d’attention dans la société de l’information, et les chercheurs en sécurité ont rapidement suivi la décision de l’équipe Google, et Will Strafach a déclaré: Il ne rejoindra pas le programme à cause de ce même point.
ZecOps a annoncé qu’il contournerait le programme SRD et continuerait à pirater les iPhones à l’ancienne, tandis que l’équipe de recherche en sécurité Axi0mX a déclaré: ils envisagent de ne pas participer également.
Alex Stamos, l’ancien responsable de la sécurité de l’information chez Facebook, a également critiqué la décision d’Apple.
Cette décision fait partie d’un ensemble plus large de décisions que la société a prises ces derniers mois contre la communauté de la cybersécurité et la recherche sur les vulnérabilités de sécurité.
On craint qu’Apple n’utilise le programme SRD à mauvais escient pour enterrer des erreurs iOS critiques; C’est justifié pour ceux qui ont suivi les programmes de sécurité d’Apple.
Apple a déjà été accusé de la même pratique, car Jeff Johnson, un développeur de macOS et iOS, a attaqué la société car elle n’était pas assez sérieuse sur son travail de sécurité à travers une série de tweets publiés en avril.