Le chercheur Ryan Pickren a récolté la coquette somme de 75 000 dollars en révélant à Apple différentes failles de sécurité permettant de faire croire à Safari qu'un site web malicieux était un site de confiance, et de déclencher la caméra et le micro.

Apple a récemment mis à jour son programme de bug bounty ou chasse aux exploits qui permet de sécuriser davantage l’écosystème de la marque à la pomme contre des compensations financières versées aux hackers éthiques. Alors qu’auparavant le programme de bug bounty n’était ouvert qu’aux personnes invitées et se limitait aux appareils utilisant iOS, les chercheurs en sécurité peuvent depuis le mois de septembre s’intéresser aux systèmes d’exploitation macOS, iPadOS, tvOS, watchOS et même à iCloud. Les conditions d’acception des rapports sont standards à ceux de l’industrie : il est nécessaire de “fournir un rapport clair, qui inclut un exploit fonctionnel” qui n’a pas été divulgué au public et le bogue doit être reproductible par les équipes d’Apple. Depuis la fin de l’année, il est possible de toucher jusqu’à 1 million de dollars pour les attaques réseau sans intervention de l’utilisateur, plus particulièrement si elles touchent au noyau.

Sept vulnérabilités au sein de Safari

Le chercheur en sécurité Ryan Pickren n’a peut-être pas touché le gros lot avec son dernier rapport de bogues, mais il a en tout cas mis le doigt sur une mine de vulnérabilités, puisqu’ils en a dénichés sept à force de travail : “Imaginez que vous êtes sur un site web populaire quand tout à coup une bannière publicitaire vient pirater votre caméra et votre microphone pour vous espionner. C’est exactement ce que cette vulnérabilité aurait permis.” explique-t-il.

Un accès à la caméra sans intervention de l’utilisateur

En exploitant différentes vulnérabilités (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-20000 3887, CVE-2020-9784 et CVE-2020-9787), le chercheur est parvenu à faire passer un site malicieux pour un site de confiance aux yeux du navigateur Safari, sur les versions desktop (MacOS) ou mobile (iPad et iPhone). Trois d’entre elles permettent d’accéder à la caméra sans demander l’autorisation à l’utilisateur. Grâce à ses découvertes, qu’Apple a pu reproduire, il s’est vu récompensé de 75 000 dollars. Pas d’inquiétude toutefois, il ne révèle ces failles qu’après l’application de correctif par l’entreprise de Cupertino.