Kaspersky accuse Apple de « tricherie » sur les bonus

Selon 9to5Mac , Kaspersky, une entreprise russe de cybersécurité de premier plan, a créé la surprise en révélant qu'Apple avait refusé de verser une prime pour la découverte d'une grave faille zero-day dans iOS. Cette faille s'inscrivait dans le cadre d'une campagne d'espionnage sophistiquée baptisée « Opération Triangulation », découverte par Kaspersky l'année dernière.

Selon Kaspersky, ils ont fourni de manière proactive des informations détaillées sur la vulnérabilité à Apple et ont proposé de reverser la prime à une œuvre de charité, mais Apple a refusé sans donner d'explication précise.

Cette vulnérabilité zero-day fait partie d'une série de quatre vulnérabilités exploitées lors de la campagne Triangulation, permettant aux attaquants de compromettre et de prendre le contrôle total des appareils iPhone affectés.

Kaspersky a même réussi à reproduire l'une des vulnérabilités de la chaîne d'attaque, référencée CVE-2023-38606. Les experts en sécurité ont découvert que le noyau iOS était utilisé pour exécuter du code arbitraire et élever les privilèges de l'utilisateur. Kaspersky a analysé et signalé cette vulnérabilité, permettant ainsi à Apple de publier un correctif de sécurité d'urgence.

Dans le cadre du programme de primes aux bogues d'Apple, les vulnérabilités zero-day peuvent être récompensées jusqu'à un million de dollars. Cependant, le fait que Kaspersky soit basé en Russie, un pays sous sanctions américaines, pourrait expliquer pourquoi Apple ne peut pas verser cette récompense.

La décision d'Apple a suscité la controverse au sein de la communauté de la cybersécurité, certains experts suggérant qu'Apple aurait dû adopter une approche plus flexible, par exemple en faisant don de la prime à une œuvre de charité au nom de Kaspersky, afin d'éviter d'enfreindre les sanctions.