Pour gérer vos consentements :
Categories: Sécurité

Apple lance son premier « bug bounty » en toute modération

Mieux vaut tard que jamais ?

C’est le sentiment qui dominait ce jeudi à la conférence Black Hat de Las Vegas après l’annonce d’Apple : la firme lance à son tour un « bug bounty », programme dans le cadre duquel elle récompensera les chercheurs qui auront trouvé des failles de sécurité dans ses produits.

Rendez-vous est pris pour le mois de septembre, dans un premier temps en cercle restreint. En l’occurrence, sur invitation, avec quelques dizaines de places pour les chercheurs qui entretiennent déjà des relations avec Apple.

La multinationale ne souhaite pas ouvrir complètement les vannes*, de peur que les soumissions de bugs affluent et que les contributions les plus importantes soient noyées dans la masse.

Jusqu’alors, Apple s’appuyait sur les travaux de ses équipes en interne, ainsi que sur des relations informelles avec les chercheurs. Ces dernières années, l’approche a évolué, le groupe américain reconnaissant ne plus pouvoir se passer des services de la communauté, à l’heure où « trouver les failles critiques est de plus en plus difficile ».

Dans les entrailles d’iOS

Plusieurs conditions sous-tendent le « bug bounty » qui sera lancé en septembre. En premier lieu, les vulnérabilités devront toucher la dernière version d’iOS et/ou la dernière génération des terminaux mobiles Apple (iPhone, iPad).

Quiconque mettra le doigt sur une brèche permettant d’accéder à des données depuis un processus censé être isolé dans un bac à sable (sandbox) pourra prétendre à une récompense allant jusqu’à 25 000 dollars.

On montera à 50 000 dollars pour l’accès à des données associées à des comptes iCloud sur les serveurs d’Apple, ainsi que pour l’exécution de code arbitraire sur iOS avec le niveau maximal de privilèges (kernel).

L’extraction de données en théorie protégées par le coprocesseur Secure Enclave – censé assurer toutes les opérations cryptographiques pour la gestion des clés et garantir, entre autres, un démarrage sécurisé en vérifiant la signature du logiciel système – pourra donner lieu au versement de 100 000 dollars.

Bienvenue au club

La mise maximale de 200 000 dollars sera réservée aux chercheurs qui dénicheront des failles dans la chaîne du « Secure Boot », dont les différents maillons, de la ROM contenant la clé publique d’Apple au noyau iOS, sont vérifiés les uns les autres avant le démarrage de l’appareil.

Sur le terrain des « bug bountys », Apple rejoint Facebook, qui a remis, l’année passée, 100 000 dollars à des chercheurs planchant sur une série de vulnérabilités C++. Mais aussi Google, qui a déboursé plus de 2 millions de dollars en 2015 dans ses programmes de chasse aux bugs. Ou encore Dropbox, entré dans la danse en association avec HackerOne.

On notera que l’Europe a lancé, en début d’année, une initiative dans la même veine, avec la Bounty Factory, plate-forme de recherche de vulnérabilités qui associe hackers et entreprises. Un projet porté par deux Français : le blogueur Korben et le RSSI de Qwant, Guillaume Vassault-Houlière.

* Selon TechCrunch, si Apple s’est longtemps refusé à organiser un « bug bounty », c’est aussi parce que la firme estimait que les hackers préféreraient toujours se tourner vers le gouvernements et le marché noir, plus lucratifs.

Crédit photo : Andrea Danti – Shutterstock.com

Recent Posts

Chrome OS : un canal dédié aux mises à jour pour les entreprises

Le cycle de vie de Chrome OS va évoluer fin novembre. Google annonce des mises…

5 jours ago

Windows 11 : ce qui change pour la migration depuis Windows 10

Comment gérer le passage de Windows 10 vers Windows 11 ? Le modèle « Windows…

2 semaines ago

Comment Mesh-Teams va incarner le métavers chez Microsoft

Microsoft veut connecter Teams et sa plate-forme Mesh, axée sur la collaboration en AR/VR. Son…

4 semaines ago

SaaS : les précautions à prendre avant de signer un contrat

Quel sont les points essentiels à qualifier dans la cadre de la signature d'un contrat…

1 mois ago

Assurances cyber : comment changer les règles ?

De la certification des fournisseurs à l'interdiction du paiement des rançons, un rapport de l'Assemblée…

1 mois ago

Stockage et collaboratif : Box dévoile ses nouveautés jusqu’à 2022

Le spécialiste du stockage collaboratif dans le Cloud dévoile sa roadmap de mises à jour…

2 mois ago