11 vulnérabilités critiques, 29 importantes, 11 moyennes et 2 faibles : ce sont les résultats de la moisson lancée par une équipe de cinq chercheurs Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb et Tanner Barnes. Il ne s’agit même pas d’un travail réalisé dans le cadre d’une entreprise, mais d’un projet né d’un défi qu’ils se sont lancés, et qui a presque commencé par un jeu. Bien leur en a pris.

Les cinq chercheurs ont plongé leurs griffes dans l’infrastructure d’Apple, touchant aussi bien aux services internes qu’externes, et concernant donc tout iCloud.com. Ils rappellent combien l’infrastucture d’Apple est « massive ». L’entreprise possède toute la plage 17.0.0.0/8, comprenant 25 000 serveurs web, dont 10 000 consacrés à apple.com, 7 000 domaines uniques et leur propre TLD, .apple.

Certaines failles trouvées étaient « évidentes » car connues. Mais beaucoup ont été des découvertes. Or, plusieurs permettaient en théorie à des pirates de s’infiltrer dans les propres services internes de l’entreprise, d’y lancer des malwares et d’y dérober aisément des données, dont le code source des produits. Il était également possible de prendre le contrôle des sessions utilisateurs. Du très lourd donc.

Les chercheurs indiquent qu’Apple a été « très réactive ». La grande majorité des failles a été très rapidement corrigée, la plupart étant colmatées en quelques heures. Au 8 octobre, 32 des 55 failles avaient déjà fait l’objet d’une récompense, pour un montant de 288 500 dollars. Apple paye a priori par « lots » et devrait s’acquitter du reste de sa dette au cours des prochains mois.

Le rapport publié le 8 octobre a reçu l’aval d’Apple, les vulnérabilités abordées ayant été corrigées il y a environ trois mois.