Comme nous le signalons souvent ici, il est courant que les entreprises technologiques s’entraident pour améliorer leurs systèmes de sécurité en partageant des vulnérabilités zero-day découvertes par des chercheurs en sécurité. Google, par exemple, le fait beaucoup. Mais récemment, un employé d’Apple aurait découvert une vulnérabilité zero-day dans Google Chrome – et cette faille n’a jamais été signalée à Apple par cette personne.
Apple n’a pas informé Google de la faille découverte dans Chrome
Une récente mise à jour du navigateur web Google Chrome corrige une vulnérabilité zero-day. Et comme les entreprises décrivent généralement qui a découvert la vulnérabilité et comment elle a été corrigée, la description de celle-ci était assez intrigante. En effet, selon un employé de Google, la vulnérabilité a été initialement découverte par un employé d’Apple.
Plus précisément, la faille a été découverte lorsque l’employé d’Apple participait à une compétition de piratage connue sous le nom de « Capture The Flag » ou « CTF » en mars. Lorsqu’elle a été découverte, la vulnérabilité était zero-day, c’est-à-dire que personne n’en était conscient jusqu’à ce moment-là. Mais bien que Google ait corrigé cette vulnérabilité, cela n’a pas été grâce au chercheur en sécurité d’Apple.
« Ce problème a été signalé par sisu de l’équipe CTF HXP et découvert par un membre de l’équipe Sécurité et Architecture d’Apple (SEAR) lors du CTF HXP 2022 », a écrit l’employé de Google dans un blog dédié à la plate-forme Chromium (via TechCrunch).
Le rapport de TechCrunch avait accès à un salon Discord où une personne prétendant être l’employé d’Apple qui a découvert la faille a déclaré qu’il n’y avait « pas d’urgence réelle » à corriger immédiatement la vulnérabilité. La personne a expliqué que seule l’équipe de recherche en sécurité d’Apple était au courant de la vulnérabilité et qu’elle n’était pas facilement accessible dans un scénario réel.
De plus, l’employé a affirmé que la faille avait été signalée à Google le 5 juin et que le retard était dû au temps qu’il a fallu à plusieurs personnes pour approuver le rapport.
Que disent les deux entreprises à ce sujet ?
Aucun des employés, d’Apple ou de Google, n’a commenté la situation à la presse. Mais bien sûr, cela pourrait finir par causer des désaccords entre les équipes de sécurité des deux entreprises. Plus tôt cette année, Apple a remercié Microsoft d’avoir découvert une vulnérabilité susceptible de contourner la Protection de l’intégrité du système dans macOS.
Les chercheurs de Google Project Zero sont également souvent crédités pour avoir découvert des vulnérabilités zero-day sur les plateformes Apple.
Détente, découvrez l’évolution du nombre de smartphones vendus par marque au fil du temps dans la vidéo ci-dessous :
