Actualités

Apple : polémique sécuritaire autour du Security Research Device Program visant à lutter contre le piratage !

Depuis peu, Apple a déployé son programme de lutte contre le piratage : via le “Security Research Device Program“, il s’agit de pouvoir fédérer les développeurs et analystes sécuritaires en les mettant à contribution au service de la firme de Cupertino. Derrière cette intention louable et légitime, la polémique ou le doute semble s’installer autour de l’initiative : sur la page dédiée, il est indiqué que tout exploit, PoC ou assimilé ne pourra être discuté “avec d’autres” ; il s’agirait d’une première dans le domaine…

 

 

Certes, il y a bien une règle comparable (de loin, si l’on cherche) : c’est la règle de l’embargo. En effet, pour des raisons évidentes de sécurité, quand découverte d’une faille il y a, en général et sauf exception, on applique un délai de 3 mois (90 jours, précisément) avant de révéler l’information publiquement, à travers un billet de blog par exemple. Ici, Apple va encore plus loin, outre divers critères propres à son programme et qui reste tout à fait corrects, on remarque un point qui en fera tiquer plus d’un(e) : l’impossibilité de pouvoir exposer publiquement la vulnérabilité à l’internaute lambda. Or, un exploit doit, en finalité, pouvoir être déversé dans la connaissance (culturelle, notamment, outre le PoC technique) publique et non être conservé “jusqu’à la date de publication” par une entreprise. D’autant plus qu’Apple spécifie qu’il faudra, si communiqué public il y aurait alors, son accord préalable, même après l’embargo, donc : la firme confirmera ou non une date sur demande de la part du développeur ou analyste… quand on imagine les spécialistes ou découvreurs derrière certains exploits assez complexes ou denses, cela augurera de belles conversations du genre avec une demande de permission à Apple pour un exploit découvert mais sous la coupe de ce programme.

 

Outre cette polémique qui ne manque pas de piquant, le programme fournira, pour les besoins des futurs développeurs et analystes qui tenteront l’aventure cloisonnée avec Apple, un smartphone : le SRD permettra un accès au Shell ainsi qu’un accès à de multiples droits et toute une palette de kits ou d’outils. En gros, un smartphone (iPhone) test où les PoCs pourront facilement être opérés avec un niveau de protection réglable aisément. Il s’agira, bien évidemment, d’un terminal mobile pour les initiés et non pour l’utilisateur lambda.

Derrière ce programme, réside une intention de pouvoir gérer et anticiper les innombrables failles qui fusent sur les systèmes Apple depuis bon nombre d’années. Une intention vertueuse mais qui occulte en partie l’accès à l’information publique d’un exploit, après embargo évidemment… A veiller !

 

 

Source : Apple – Security Research Device Program : page dédiée (Anglais).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020