Apple accusé par Kaspersky de « tricherie » sur les récompenses

Selon 9to5Mac , Kaspersky, une société russe de cybersécurité de premier plan, a créé la surprise en révélant qu'Apple avait refusé de payer une prime pour la découverte d'une vulnérabilité zero-day critique dans iOS. Cette vulnérabilité faisait partie d'une campagne d'espionnage sophistiquée appelée « Opération Triangulation », découverte par Kaspersky l'année dernière.

Selon Kaspersky, ils ont fourni de manière proactive des informations détaillées sur la vulnérabilité à Apple et ont proposé de faire don de la prime à une œuvre caritative, mais Apple a refusé sans donner d'explication spécifique.

Cette vulnérabilité zero-day fait partie d'une série de quatre vulnérabilités exploitées dans la campagne Triangulation, permettant aux attaquants de compromettre et de prendre le contrôle total des appareils iPhone affectés.

Kaspersky a même procédé à la rétro-ingénierie d'une des vulnérabilités de la chaîne d'attaque, nommée CVE-2023-38606. Les experts en sécurité ont découvert que le noyau iOS était utilisé pour exécuter du code arbitraire et élever les privilèges des utilisateurs. Kaspersky a analysé et signalé l'une de ces vulnérabilités, aidant ainsi Apple à publier un correctif de sécurité d'urgence.

Dans le cadre du programme de primes aux bugs d'Apple, les victimes de vulnérabilités zero-day peuvent être récompensées jusqu'à 1 million de dollars. Cependant, l'implantation de Kaspersky en Russie, pays sous sanctions américaines, pourrait expliquer pourquoi Apple ne peut pas verser cette récompense.

La décision d’Apple a suscité une controverse au sein de la communauté de la cybersécurité, certains experts suggérant qu’Apple aurait dû adopter une approche plus flexible, comme faire don de la prime à une association caritative au nom de Kaspersky, pour éviter de violer les sanctions.