Comment Apple décourage une nouvelle fois les chercheurs en sécurité

Apple et les chercheurs en sécurité, c’est une histoire compliquée. Mais le combat juridique dans lequel la firme s’est engagée depuis quelques mois risque d’envenimer totalement la situation. En août dernier, en effet, le fabricant a porté plainte contre Corellium, une société qui met à disposition des machines virtuelles iOS. Pour les chercheurs en sécurité, c’est très pratique. Cela leur évite de jailbreaker de vieux iPhone pour effectuer leurs analyses et leurs tests. Mais Apple considère cela comme une violation de la protection de la propriété intellectuelle, n’ayant jamais donné son accord à Corellium pour générer et commercialiser ces instances iOS.

Sur le fond, Apple a probablement raison. Chez Microsoft aussi, il faut bien une licence si l’on veut installer Windows sur une machine virtuelle. Mais cette affaire faire ressortir tout un tas de ressentiments qui couvaient depuis longtemps. Ainsi, les chercheurs en sécurité estiment qu’Apple ne les aide pas suffisamment dans leur travail, alors qu’il en profite beaucoup. La firme de Cupertino a beaucoup tardé à créer un programme de « bug bounty » pour iOS. Celui-ci n’existe que depuis 2016, et n’était accessible qu’à des hackers triés sur le volet au départ. Idéal pour créer la bonne ambiance dans une communauté.

Confronté à des failles de sécurité de plus en plus fréquemment, Apple s’est finalement résolu l’année dernière à ouvrir ce programme de rétribution à tous et à augmenter considérablement le montant des récompenses. Mais a quand même fait des mécontents en proposant désormais des iPhone jailbreakés dédiés au débogage à une sélection de chercheurs seulement. Les autres doivent se débrouiller comme ils le peuvent. Ils utilisent des jailbreaks quand il y en a, ou achètent des iPhone de débogage à prix d’or sur le marché noir. De ce point de vue, Corellium représente donc une alternative pratique et qui fait gagner du temps.

Dans sa plainte Apple souligne que son but n’est pas de gêner la recherche en sécurité si elle est faite de bonne foi, mais d’arrêter la commercialisation frauduleuse de son système d’exploitation. Mais certains chercheurs pensent le contraire et estiment que la propriété intellectuelle a bon dos dans cette affaire. Selon eux, cette plainte est un prétexte pour justement limiter la recherche en sécurité sur iOS. « Apple veut garder le contrôle sur la recherche et les failles qui en découlent. Sa volonté est probablement d’éviter que des chercheurs vendent des failles à des brokers », écrit MalwareTech sur Twitter.

C’est également l’avis de Corellium qui, en plus, souligne dans sa défense avoir participé officiellement au programme de « bug bounty » d’Apple. La start-up a livré des failles tout en exposant ses technologies de virtualisation qui lui ont permis d’y arriver. « Apple n’a jamais fait aucune remarque relative à une possible violation de la propriété intellectuelle », peut-on lire dans un document juridique. De son côté, Apple écrit dans sa plainte que Corellium pousse ses clients à vendre les failles au mieux offrant, ce qui irait à l’encontre de la sécurité d’iOS. On touche là aux contradictions intrinsèques du secteur de la sécurité informatique, où tout n’est jamais blanc ou noir.

Quoiqu’il en soit, cette action en justice est déjà en train de refroidir certaines ardeurs. Interrogés par Vice, beaucoup de chercheurs hésitent désormais à se tourner vers Corellium, par peur de représailles de la part d’Apple. Mais cela ne va pas empêcher les vrais méchants de poursuivre leurs opérations. Sur Twitter, Patrick Wardle rappelle que le gouvernement des Émirats arabes unis a réussi à placer une application d’espionnage sur l’App Store et que c’est seulement grâce à un jailbreak qu’il a pu détecter son comportement malveillant.