Voici l'histoire d'un chercheur en sécurité respecté et adoubé par Apple qui a profité d'une de ses trouvailles pour subtiliser des produits et cartes cadeau pour une valeur de plusieurs millions de dollars, avant de se faire prendre, la main dans le pot de confiture à la pomme.
Un chercheur en sécurité...et en bons plans
Le chercheur en sécurité Noah Roskin-Frazee de ZeroClicks Lab a été récemment officiellement remercié et cité par Apple pour avoir mis en lumière des failles au sein des systèmes de Cupertino, notamment macOS Sonoma, qui ont ensuite été corrigées avec la mise à jour 14.2 du système. Mauvais timing, le chercheur a été arrêté deux semaines seulement avant la mise en ligne de l'article pour avoir dérobé pour environ 2,5 millions de dollars à Apple (aidé toutefois par un acolyte, également chercheur en sécurité) sous forme de produits, services et cartes cadeau.
Oh, regardez là-bas, une faille de sécurité !
L'homme semble avoir trouvé une autre faille de sécurité, aux possibilités trop alléchantes pour être signalée à Apple sans tenter d'en tirer bénéfice. La faille touchait le backend d'Apple, plus précisément l'outil Toolbox permettant à la firme de mettre des commandes en attente, et de les modifier pendant cette période.
Les deux chercheurs/apprentis voleurs ont réussi à réinitialiser le mot de passe d'un employé d'une société tierce ayant accès à l'outil d'Apple afin de pouvoir passer tranquillement des commandes comprenant de nombreux iPhone et Mac, mais également des cartes cadeaux sous un nom d'emprunt (malin), avant de modifier le total de la facture en un joli 0 dollars. Il semblerait que la prudence, pourtant conseillée par les chercheurs en sécurité, n'ait pas été de mise puisqu'un des deux malandrins aurait utilisé l'astuce pour prolonger des contrats Apple Care lui appartenant (pas malin), ou liés à certains membres de sa famille.
