Selon 9to5Mac , Kaspersky, la principale société de cybersécurité russe, a fait sensation en révélant qu'Apple refusait de payer une prime pour sa découverte d'une grave vulnérabilité zero-day dans iOS. Cette vulnérabilité fait partie d'une campagne d'espionnage sophistiquée appelée « Opération Triangulation », découverte par Kaspersky l'année dernière.

Selon Kaspersky, ils ont fourni de manière proactive des informations détaillées sur la vulnérabilité à Apple et ont proposé de faire don de la prime à une œuvre caritative, mais Apple a refusé sans donner d'explication spécifique.

Cette vulnérabilité zero-day fait partie d'une série de quatre vulnérabilités exploitées dans la campagne Triangulation, permettant aux attaquants de compromettre et de prendre le contrôle total des appareils iPhone affectés.

Kaspersky a même procédé à la rétro-ingénierie d'une des vulnérabilités de la chaîne d'attaque, nommée CVE-2023-38606. Des experts en sécurité ont découvert que le noyau du système d’exploitation iOS est utilisé pour exécuter du code arbitraire et élever les privilèges des utilisateurs. Kaspersky a analysé et signalé l'une de ces vulnérabilités, aidant Apple à publier un correctif de sécurité d'urgence.

Dans le cadre du programme de primes aux bugs d'Apple, la découverte de vulnérabilités zero-day peut donner lieu à des récompenses allant jusqu'à 1 million de dollars. Cependant, le fait que Kaspersky soit basé en Russie, un pays sous sanctions américaines, pourrait être la raison pour laquelle Apple ne peut pas payer la récompense.

La décision d’Apple a suscité beaucoup de controverses au sein de la communauté de la cybersécurité. Certains experts estiment qu'Apple aurait dû adopter une approche plus flexible, comme faire don de la prime à une œuvre caritative au nom de Kaspersky, afin de ne pas violer les sanctions.