Le jeune découvreur de la faille FaceTime admissible au programme de chasse aux bugs d’Apple

Mickaël Bazoge |

La faille FaceTime, qui permet d’écouter en douce un correspondant avant qu’il décroche, a été débusquée par un jeune utilisateur. Grant Thompson, 14 ans, avait repéré le gros bug dès le 20 janvier ; après en avoir parlé à sa mère Michele, celle-ci a fait des pieds et des mains pour prévenir Apple qui a traité l’affaire un peu par dessus la jambe (lire : FaceTime en groupe : la petite histoire derrière le gros bug de communication).

Depuis, le constructeur tente de faire amende honorable, aussi bien techniquement (un correctif est attendu cette semaine) qu’auprès de la famille Thompson. Tout d’abord en la créditant dans la courte déclaration de vendredi dernier, puis en dépêchant un dirigeant pour rencontrer le découvreur de la faille et sa maman.

La rencontre a eu lieu vendredi après-midi, à Tucson dans l’Arizona. « Il nous a remercié en personne et il nous a aussi demandé notre retour, comment Apple pourrait améliorer le processus de traitement des rapports de bugs », a expliqué Michele à CNBC.

Ce cadre haut placé a également indiqué à Grant qu’il pourrait être éligible au « bug bounty », le programme de chasse aux bugs d’Apple. Lancé durant l’été 2016, ce dernier n’a pas eu les effets escomptés : les sommes proposées par le constructeur sont trop faibles et il n’est ouvert qu’à une poignée de chasseurs (lire : Le programme de chasse aux bugs d'Apple fait un flop).

Cette affaire pourrait signaler un changement en profondeur du comportement d’Apple quand l’entreprise reçoit un rapport de bug circonstancié. C’est d’ailleurs ce que la Pomme a laissé entendre la semaine dernière, en promettant une amélioration du processus de réception et de remontée des brèches de sécurité.

Quant à la récompense que pourrait recevoir Grant, on ignore tout de sa nature. La famille Thompson recevra de plus amples informations sur le sujet dans les prochains jours. Michele a déjà une idée de l’usage de l’éventuel chèque d’Apple : « Nous ferions sans aucun doute un bon usage de cette récompense pour [la] scolarité [de Grant], parce que je pense qu’il ira loin, espérons-le. [L’informatique] est un domaine qui l’intéressait avant, et encore plus maintenant ».

avatar R1x_Fr1x | 

Quelle bonté de la part de Sa Majesté

avatar alfatech | 

@R1x_Fr1x

"Quelle bonté de la part de Sa Majesté "

Une autre boîte aurait donné que dalle et c'était réglé...... Même dans les bons côtés des choses il faut qu'un troll là ramène car ça ne va jamais, c'est grave.

avatar coucou | 

Les autres boites ont un bug bounty depuis des années et des années et ont même récompensées des gamins de 12ans, c'est pas les pingres de chez apple... A chaque fois il faut qu'un troll là ramène car ça ne va jamais, c'est grave.

avatar alfatech | 

@coucou

Mais bien sûr ! Combien de boites font ça ? 2 ? 3? sur plusieurs centaines ça porte juste à sourire.

avatar occam | 

« Nous ferions sans aucun doute un bon usage de cette récompense pour [la] scolarité [de Grant]... »

All we are saying is, grant Grant a grant!

(Voilà qui, en plus de la référence à Plastic Ono Band, devrait occuper Siri pendant un bon moment.)

avatar lulubotine | 

Envoyez une orde de chasseurs alors !

avatar ys320 | 

Sinon la pub pour Facetime de groupe avec le bug passe toujours à la TV...

avatar Rigby | 

@ys320

C’est pas une pub Orange?

avatar Woaha | 

Un jour on m’a donné 20 $ pour avoir trouvé une faille assez sérieuse en ligne. J’étais content mais en y repensant j’aurais peut-être dû demander plus.

avatar a_y | 

Même pas un Mac book pro en cadeau ?! 🤔🙄

avatar Woaha | 

@a_y

Ah mince j’ai oublié de préciser que ce n’était pas une faille chez Apple mais sur un site d’une société. Non c’est juste que du coup cet article m’amène à me demander combien on récompense en général. Évidemment Apple a pas mal d’argent donc ils peuvent être généreux. Dans mon cas j’avais accès à pas mal de login WordPress de clients du site dont j’ai trouvé la faille, pass et id !!! Donc un bug grave.

avatar a_y | 

@Woaha

Tu peux regarder toi-même sur des sites comme Hackerone https://hackerone.com/dropbox

Par exemple, pour des failles critique « Remote Code Execution on servers » c’est - $32,768

avatar Woaha | 

@a_y

Cool merci !

avatar Faabb | 

Bonne nouvelle qu’il reçoive bien la gratification du programme de détection des failles et bravo encore à lui !!

avatar mp_ | 

A-t-elle retrouvé son chat ?

CONNEXION UTILISATEUR