Souvenez-vous. Lynn Fox, porte-parole de Apple, avait donné une interview à George Ou de ZDNet dans laquelle il déclarait en substance que SecureWorks n'avait jamais rien communiqué ou produit de pertinent :

* Did SecureWorks ever disclose the packet captures of the
   malicious payload used to trigger said vulnerabilities?
No. Packet captures were promised repeatedly but never
delivered.

* Did SecureWorks ever provide driver disassemblies
   pertaining to said Wi-Fi vulnerabilities?
No. While SecureWorks did provide a driver disassembly, it
did not indicate a Wi-Fi vulnerability in any Apple product.

* Did SecureWorks ever provide crash dumps pertaining to said
   Wi-Fi vulnerabilities?
No. While we received crash dumps from SecureWorks, they
didn't have anything to do with Mac OS X or any other Apple
product.

* Did SecureWorks ever point to the location of the
   vulnerable code of said Wi-Fi vulnerabilities?
No.

* Do any of the current patches released by Apple match any
   of the characteristics of the information provided by
   SecureWorks?
No.

Rien à signaler donc, le Mac est secure, pas de problème. À une mise à jour près, sortie il y a deux semaines, qui corrige trois failles liées à la couche WiFi de MacOS X montrant que, d'une manière ou d'une autre, toutes les plate-formes Apple équipées d'une carte 802.11 étaient vulnérables. Mais, nous jurait-on, ces failles n'ont rien à voir avec ce que ces menteurs de pirates clamaient à Las Vegas :

Basically, what happened is SecureWorks approached Apple
with a potential flaw that they felt would affec the wireless
drivers on Macs, but they didn't supply us with any
information to allow us to identify a specific problem. So
we initiated our own internal product audit, and in the
course of doing so found these flaws.

Mais depuis ce week-end, le son de cloche est différent. Sans pour autant reconnaître le moindre crédit aux "publications" antérieures de Maynor et Cache, Apple concède travailler avec SecureWorks, en coordination étroite avec le CERT-CC, sur tous les problèmes rapportés :

SecureWorks and Apple are working together in conjunction
with the CERT Coordination Center on any reported security
issues. We will not make any additional public statements
regarding work underway until both companies agree, along
with CERT/CC , that it is appropriate.

Alors résumons-nous. Deux gars annoncent qu'ils ont une faille sur MacOS X. Apple dément, les traite de menteurs, suivi par tout ce que la planète connait de bloggers et de journalistes fan de leurs produits. Cependant, motivés par ces paroles sans fondement, les gens d'Apple décident quand même de lancer une grande campagne d'audit en aveugle, n'ayant reçu aucune information de quelque sorte que ce soit, qui aboutira en à peine un mois et demi à la découverte de trois failles et la production des patches qui vont avec. Et en parallèle, ils demandent à Secureworks de fournir des informations complémentaires, que ces derniers n'ont pas puisqu'ils n'ont jamais rien produit, pour pouvoir travailler en commun, en coordination avec le CERT, sur un problème qui n'existe pas.

De qui se moque-t-on ? La firme de Cupertino aurait-elle décidé de battre Microsoft sur des terrains que ce dernier semble avoir délaissés depuis quelque temps, la mauvaise foi et la langue de bois ? Toujours est-il que ceux qui avaient fait le déplacement à San Diego ont dû se contenter d'une maigre discours de Johnny Cache sur la situation, seul pour défendre ce qui lui reste de réputation suite aux dénigrements sans fin dont il a fait l'objet. Maynor s'est vu interdire sa venue, Cache ne voulait pas faire la présentation seul. Dans leur extrême soucis de responsabilité, SecureWorks et Apple ont préféré s'emmurer dans le silence, ce qui ne change pas trop en fait. Et nous pauvres mortiels n'avons donc toujours rien de concret sur cette histoire, sinon la preuve bien réelle que quand il s'agit d'alertes de sécurité, Apple ne vaut mieux pas mieux que les autres.

Le gaspillage de temps et d'énergie ne semble pas devoir prendre fin bientôt...