Le programme de primes aux bogues d’Apple a un énorme arriéré, rapporte les réclamations

activé
Catégories : Apple

Un nouveau rapport sur le programme de primes aux bogues d’Apple indique que le système a un énorme arriéré de bogues qui n’ont pas été corrigés et que les participants ne sont pas satisfaits de son fonctionnement.

Du Washington Post :

… beaucoup de ceux qui connaissent le programme disent qu’Apple est lent à corriger les bogues signalés et ne paie pas toujours aux pirates ce qu’ils pensent leur être dû. En fin de compte, disent-ils, la culture insulaire d’Apple a nui au programme et créé un angle mort sur la sécurité.

Un expert a déclaré au Post que le programme d’Apple signifiait “la maison gagne toujours” et qu’Apple avait une mauvaise réputation dans l’industrie de la sécurité. Le Post indique que deux douzaines de chercheurs en sécurité ont souligné comment des concurrents comme Facebook et Microsoft paient plus qu’Apple, soulignant le travail des chercheurs et proposant des conférences et des ressources. En revanche, Apple a été dépeint non seulement comme avare de paiements mais aussi moins transparent :

Cependant, les montants des paiements ne sont pas le seul facteur de succès. Les meilleurs programmes prennent en charge les conversations ouvertes entre les pirates et l’entreprise. Apple, déjà connu pour être discret, limite la communication et les commentaires sur les raisons pour lesquelles il choisit de payer ou de ne pas payer pour un bogue, selon des chercheurs en sécurité qui ont soumis des bogues au programme de primes et un ancien employé qui a parlé sous couvert d’anonymat. en raison d’un accord de confidentialité.

Deux sources, de manière inquiétante, ont déclaré au Post qu’Apple a un “arriéré massif de bogues qu’il n’a pas corrigés”, et d’autres sources se plaignent que la “nature hostile de son programme de primes de bogues a découragé certains chercheurs en sécurité de signaler des failles à Apple .”

Offres VPN : licence à vie pour 16 €, forfaits mensuels à 1 € et plus

Malgré ces rapports dans un communiqué, Apple a décrit son programme comme un “succès fulgurant” et a déclaré: “Nous travaillons dur pour faire évoluer le programme au cours de sa croissance spectaculaire, et nous continuerons d’offrir les meilleures récompenses aux chercheurs en sécurité qui travaillent avec nous à nos côtés. côté pour protéger nos utilisateurs et leurs données sur plus d’un milliard d’appareils Apple dans le monde.”

Le rapport complet cite d’autres cas de chercheurs payés moins que ce qu’ils pensaient être dû, ou parfois rien du tout. Au moins un chercheur a déclaré avoir parlé à Apple et déclaré que l’entreprise était “consciente de la façon dont elle était perçue dans la communauté” et qu’elle “essayait d’aller de l’avant”, embauchant même un nouveau chef pour son programme de bug bounty afin de réformer l’initiative.