Apple a trouvé le moyen de s'aliéner une partie de la communauté des chercheurs en sécurité informatique en lançant son iPhone SRD, un smartphone qui est pourtant dédié à la chasse aux vulnérabilités. L'appareil fait sauter les barrières sécuritaires d'iOS, ce qui coupe l'herbe sous le pied aux iPhone « dev-fused » qui circulent sous le manteau et qui permettent aux hackers de jeter un œil dans les entrailles d'iOS (lire : Ces prototypes d'iPhone vendus aux hackers spécialisés en sécurité).

Mais le programme Security Research Device d'Apple contient des restrictions qui désespèrent plusieurs grands noms du domaine, comme Will Strafach (patron de l'app Guardian), les chercheurs de ZecOps, Axi0mX à qui l'on doit la trouvaille Checkm8, ou encore l'équipe Project Zero qui compte de nombreux forts en thème travaillant chez Google. Ces chercheurs ont annoncé qu'ils ne solliciteraient pas Apple pour obtenir un iPhone SRD, en raison notamment d'une modalité du programme.

Si un chercheur prévient Apple de la découverte d'une faille grâce à cet appareil spécial, le constructeur lui indiquera la date de publication à laquelle il pourra dévoiler la vulnérabilité au grand jour. Cette date correspond généralement au jour où une mise à jour iOS est mise à disposition. « Apple travaillera de bonne foi pour corriger la faille aussi rapidement que possible. Jusqu'à la date de publication, vous ne pourrez pas discuter de la vulnérabilité avec d'autres », peut-on encore lire sur le site d'Apple.

Pour Ben Hawkes du Project Zero, cette restriction semble viser spécifiquement son équipe qui a l'habitude de dévoiler ses failles 90 jours après leur découverte. Un délai largement partagé dans le petit monde des chercheurs en sécurité. Ce qui est reproché ici c'est qu'Apple garde le contrôle du processus de divulgation de la vulnérabilité (difficile de se départir d'une culture de la centralisation ancrée depuis toujours chez Apple).

La crainte est que le constructeur abuse de cette modalité pour retarder la sortie de correctifs ou qu'il empêche la publication des travaux des chercheurs. Apple a fait un pas important avec l'iPhone SRD, mais la Pomme va devoir aussi faire la preuve de sa bonne volonté.