Récemment, une tendance inquiétante a émergé dans le domaine de la cybersécurité, notamment concernant les taux de primes offerts par Apple pour la découverte de vulnérabilités sur macOS. Alors que les menaces de logiciels malveillants ciblant les utilisateurs de Mac se multiplient, Apple a décidé de réduire considérablement ces primes, attirant ainsi l’attention des experts en sécurité.
Baisse des primes de sécurité chez Apple
Csaba Fitzl, un chercheur en sécurité macOS chez Iru, a soulevé des préoccupations importantes sur cette décision. Selon lui, la réduction des primes pourrait indiquer qu’Apple ne prend pas sérieusement la sécurité des utilisateurs de Mac. Par exemple, la prime pour les bypass complets du TCC est passée de 30 500 € à seulement 5 000 €, un changement qui semble désinvolte alors même que le problème du malware sur Mac s’aggrave.
Il est difficile de voir cela sous un jour positif. On pourrait penser :
- Apple admet qu’il est dépassé par le problème et n’en a plus cure.
- Ils semblent négliger la question de la vie privée.
De plus, les primes pour les bypass individuels du TCC ont également été réduites, tombant à 1 000 € au lieu des 5 000 à 10 000 € précédemment en vigueur. Cette tendance soulève des interrogations, notamment par rapport à l’engagement d’Apple envers la protection des données personnelles de ses utilisateurs.
Le système TCC d’Apple : Transparence, Consentement et Contrôle
Le TCC, acronyme pour Transparence, Consentement et Contrôle, est un cadre essentiel qui permet aux applications d’accéder à des données sensibles uniquement avec l’accord explicite de l’utilisateur. Une violation totale du TCC permettrait à une application d’accéder à des informations privées sans obtenir le consentement nécessaire.
Ce système protège notamment :
- Vos fichiers et dossiers
- Les données des applications Apple, comme Contacts et Calendrier
- Les fonctionnalités de la webcam, des microphones et d’enregistrement d’écran
Des chercheurs en sécurité ont déjà mis en lumière des failles graves dans le système TCC. Par exemple, l’une d’elles permettait à un attaquant de modifier la base de données du consentement, trompant ainsi macOS quant à l’autorisation donnée par l’utilisateur.
Fitzl souligne un fait troublant : peu de chercheurs se consacrent à la sécurité sur la plateforme Mac. Avec la diminution des primes, ce nombre risque d’être encore plus faible. Ce contexte incite les découvreurs de failles à envisager de vendre leurs informations sur le marché noir plutôt que de les signaler à Apple.
Il est surprenant de voir de telles modifications dans la politique de primes en plein essor de logiciels malveillants sur Mac. Nous attendons une réponse d’Apple sur cette situation alarmante.