Apple lance un nouveau programme de recherche en sécurité nommé « Security Research Device » et met à disposition des chercheurs en sécurité qui le souhaitent un iPhone modifié. Il y a toutefois des conditions à respecter pour l’obtenir.
Ce programme, annoncé l’année dernière lors de la conférence sur la cybersécurité Black Hat, a été lancé officiellement ce mercredi. Il comprend la distribution d’iPhone aux experts en sécurité, des appareils modifiés pour leur permettre d’utiliser leurs applications spécifiques.
Des iPhone 11 offerts aux chercheurs
Pour réaliser ce programme, Apple offre des iPhone de dernière génération à tout chercheur en cybersécurité qui en fait la demande. Le constructeur à la pomme espère dénicher ainsi des talents lui permettant de progresser dans le domaine de la cybersécurité, sur ses appareils.
Les iPhone offerts ne sont pas des versions standards grand public, mais des versions modifiées qui acceptent l’installation de programmes spécifiques, utilisé par les experts en sécurité et qui ne sont pas installables en temps normal, à moins d’avoir un iPhone jailbreaké.
Les conditions d’accès au programme ne font pas l’unanimité
À noter que les smartphones ne sont pas envoyés aux chercheurs sans condition. Les chercheurs s’engagent, pour une période de 12 mois renouvelable avec Apple, à faire remonter les informations et les failles qu’ils pourraient déceler.
Là où les chercheurs ne sont pas d’accord, c’est sur la clause les obligeant à ne pas divulguer les failles détectées au grand public avant une date définie par Apple.
Ce point est à double tranchant : d’un côté Apple veut conserver le droit de diffuser l’information pour avoir le temps de corriger le problème identifié. Le message serait de fait plus facilement accepté par les utilisateurs s’il est fait mention dans la notice d’une mise à jour.
De l’autre côté, les utilisateurs vont continuer à utiliser un iPhone contenant de potentielles failles de sécurité sans le savoir, mettant en danger les informations personnelles contenues dans le téléphone, le temps que le constructeur corrige et communique dessus. Pire encore, si la faille n’est pas corrigée, Apple se réserve tous les droits sur sa communication, et rien ne garantit que l’information soit divulguée.
Plusieurs spécialistes ne souhaitent pas adhérer au programme en raison de cette clause, dont ZecOps qui avait découvert des vulnérabilités dans AppleMail au printemps dernier ou encore l’équipe de recherche Google Project Zero. (Cnet)