Un hacker défie le PDG d’Apple de verser 2 millions de dollars à Amnesty International

Crédits : Wikimedia Commons / David Whelan

Avez-vous déjà entendu parler du « projet zéro » de Google ? La mission des hackers qui en font partie est de pirater les systèmes des plus grandes entreprises du monde. Les failles et bugs sont ensuite rapportés en toute discrétion aux entreprises pour qu’elles les corrigent.

Un hacker d’élite

Le poste officiel de Ian Beer chez Google est « chercheur en sécurité ». Mais sa spécialité est de détecter des failles dans l’iOS d’Apple. Il s’attaque à tous les produits de la marque pour en chercher les failles.

Lors de la conférence « Black Hat » (chapeau noir, cela désigne un mauvais hacker) 2018 qui a eu lieu à Las Vegas, celui-ci a ouvertement critiqué Apple sur la gestion de sa sécurité et de ses bugs.

Comment Apple récompense-t-elle les hackers qui lui rapportent des bugs ?

Dans toutes les grandes entreprises du monde du digital, il existe un programme qui consiste à récompenser financièrement une personne qui rapporte des problèmes ou des failles. Celui d’Apple date de 2016. Seul problème, il faut être affilié au programme pour en toucher les récompenses. Ainsi, même si vous trouviez la plus grosse faille par hasard, Apple ne vous donnerait rien.

Voici la grille tarifaire des récompenses d’Apple :

programme de recompense d Apple
Programme de récompenses présenté par Apple à la Black Hat 2016. Crédits : Black Hat/Youtube

En reprenant cette grille, Ian Beer a donc compté combien devrait – en théorie – lui reverser Apple s’il avait été dans le programme. Il a partagé ses résultats sur Twitter :

Bien sûr, ce hacker touche déjà un salaire en tant que consultant en sécurité chez Google. Dans son tweet, il demande donc la chose suivante :

« Salut Tim Cook, j’ai travaillé pendant des années pour rendre l’iOS plus sûr. Voici la liste de tous les bugs dont je vous ai fait part, et qui rentrent dans le cadre de votre programme de récompense depuis sa création. Pourriez-vous m’y ajouter pour que nous puissions donner cet argent à Amnesty International ? »

Le projet zéro fait polémique depuis des années

Concrètement, le projet zéro a toujours été un problème pour beaucoup d’entreprises. Une fois rapporté, Google demande à ce que le bug soit corrigé dans les 90 jours sous peine de sanctions. Et quand on s’appelle Google, on dispose d’une force de frappe non négligeable sur Internet.

Autre polémique : seuls trois des membres du projet zéro sont « connus », dont Ian Beer. Les autres préfèrent ne pas trop se manifester. On ne sait pas combien de personnes font réellement partie du programme.

D’où vient cette idée ?

Sergey Brin est l’un des cofondateurs de Google. Il avait peur que les failles d’autres entreprises puissent fragiliser le moteur de recherches et tous ses services. En 2010 il commence donc à réfléchir à un plan, mais c’est officiellement en 2014 que projet zéro est lancé.

Certains pensent aussi qu’il s’agit d’une mesure de contre-surveillance suite à l’affaire Snowden. En forçant les entreprises à renforcer leur sécurité, on bloque les personnes qui surveillent et qui abusent de cette surveillance.

Le pourquoi des révélations

En s’attaquant à Apple, Ian Beer est devenu connu, ce qui peut devenir un problème lorsque l’on est un hacker. Selon lui, Apple ne réparerait pas correctement les bugs dont il leur fait part.

Dans les notes de son discours, il sous-entend qu’Apple utilise son programme de récompense comme un écran de fumée, et « à des fins de relations publiques ».

« Car malgré des années de rapport sur des bugs existants, je (Ian Beer) n’ai jamais été contacté par Apple ou même invité dans leur programme. »

Source : Notes de Ian Beer – Twitter de Ian Beer

Articles liés :