Bug bounty : Apple va récompenser financièrement les découvertes de failles
Apple n'a pas menti quand elle a déclaré qu'elle viendrait avec quelque chose d'inédit à la Black Hat 2016 : à la surprise de beaucoup, l'entreprise va lancer un bug bounty à l'automne.
Un bug bounty, qu'est-ce que c'est ? Rien à voir avec la barre chocolatée, puisqu'il s'agit d'un programme de récompense de découvertes de failles de sécurité. De nombreuses entreprises (Google, Facebook, Microsoft...) ont recours à cette opération pour renforcer la sécurité de leurs produits, mais Apple s'était tenue à l'écart jusqu'à maintenant.
La Pomme va faire les choses progressivement ; au départ, son bug bounty sera ouvert à seulement quelques dizaines de chercheurs avec lesquels elle a l'habitude de collaborer (mais si une personne extérieure venait à trouver une vulnérabilité, elle pourrait être incluse a posteriori). Le champ de recherche sera lui aussi restreint à quelques types de bugs d'iCloud et des terminaux iOS :
- Composants firmware de la chaîne de démarrage sécurisé (secure boot) : jusqu'à 200 000 $ de récompense
- Extraction de données confidentielles protégées par la Secure Enclave : jusqu'à 100 000 $
- Exécution de code arbitraire avec des privilèges kernel : jusqu'à 50 000 $
- Accès non autorisé à un compte iCloud sur les serveurs d'Apple : jusqu'à 50 000 $
- Accès à partir d'un processus sandboxé à des données utilisateurs situées en dehors de la sandbox : jusqu'à 25 000 $
Les vulnérabilités doivent fonctionner sur la dernière version stable d'iOS et les derniers iPhone et iPad s'il s'agit d'un problème matériel — comme ce peut être le cas pour la Secure Enclave.
Les chercheurs s'engageront à ne pas dévoiler publiquement leurs trouvailles jusqu'à ce qu'Apple les corrige. De son côté, Cupertino fera son possible pour les corriger le plus rapidement possible, mais ne donnera pas d'échéance.
Comme d'autres bug bounty le proposent, Apple pourra verser la récompense directement à une œuvre de charité si un généreux chercheur en fait la demande. L'entreprise pourra aussi doubler la donation avec ses propres fonds, si elle le décide.
Pourquoi, au fait, Apple se met-elle à payer les personnes qui pointent du doigt les défauts de sécurité de ses produits ? Que ce soit en interne ou en externe, les failles sont maintenant plus difficiles à trouver, justifie-t-elle. Ces incitations financières sont un moyen d'encourager les spécialistes à examiner ses produits.
Il s'agit aussi d'une réponse au phénomène de ventes de failles à des entreprises tierces. L'iPhone 5c de San Bernardino a été déverrouillé grâce à une vulnérabilité inconnue d'Apple achetée par le FBI à un tiers.
Plusieurs spécialistes notent que les récompenses offertes par Apple ne détourneront sans doute pas les black hat qui peuvent vendre leurs découvertes jusqu'à 1 million de dollars à des gouvernements ou des organisations criminelles.
Le chercheur Rich Mogull soulève par ailleurs deux autres problèmes potentiels des bugs bounty en général : un déluge de signalement de bugs mal renseignés et mal validés qui peut accaparer l'équipe technique, et des négociations financières qui peuvent être délicates. Toutefois, il est optimiste concernant le programme d'Apple.
Apple le fait à sa façon. Elle se concentre sur la qualité, pas la quantité. [...] Je pense que c'est un bon début. Apple n'avait pas besoin d'un [bug bounty], mais elle va certainement en tirer profit.
Je ne trouve pas ça cher payé.
Après la frontière doit être dure à établir entre récompense et incitation !
@misterbrown :
C'est le double de ce que Microsoft paye quand même...
Bonne initiative.
Maintenant, ils pourraient lancer la même chose pour la chasse aux bugs (pas uniquement les failles de sécurité)...
"Accès non autorisé à un compte iCloud sur les serveurs d'Apple : jusqu'à 50 000 $"
Quand on voit le tord que ça pourrait leur causer....
Les comptes des Peoples ou simplement des millions de personnes qui leur font confiance.
Bref. Drôle de calcul.
@misterbrown :
Il me semble plutôt que les people en question avaient comme mot de passe : 1234. Si Apple n'offre que 50000 c'est qu'ils sont sûr de leur coup.
@postman94801 :
Donc à l'inverse, quand tu n'es pas sur de ton coup, tu augmentes les gains si quelqu'un trouve une faille ?
Au contraire. Si je suis sûr à 100% qu'il n'y a aucune faille, je suis prêt à offrir 1 milliard à celui qui en trouvera une.
@misterbrown
De l'aveu même du pirate qui a été condamné il n'y a pas longtemps, c'est plus la faute de ces personnes même.
Soit le mot de passe était facilement trouvable dans les éseaux sociaux, soit ils se sont fait aoir par phishing. En tout cas, aucun piratage direct suite à une faille d'iCloud.
@misterbrown :
Le CelebGate n'a pas été cause par un faille d'iCloud... Les hackers avait récupérés des mdp de services qui avait été hacker et découvert la réponse à des questions de sécurité
Pour gagner des sous tout le monde te dit "faut faire médecine ou pilote d'avion" mais hackeur personne n'en parle hein
Ça fait un petit moment que la faille de San Andreas a été découverte à proximité de Cupertino. Il va falloir aller plus loin...
@heret :
Très dmfort
Avec la bêta de Sierra je vais devenir riche MDR
@abioninho :
Bug =/= Faille de sécurité
Et les failles de design ca rapporte rien? Rhoooo
- coque dessous le macbookproretina qui fait du bruit
- iphone 6 qui plie
- probleme reseau iphone 4
- probleme bouton iphone 5
- ipad air qui vibre quand le son est trop fort
- rechargement de la magic mousse
- rechargement du pencil
- plus moyen de connecter quelque chose au macbook retina
- ???? Plus de jack sur l'iphone
- coque recharge iphone bossus
- appareil photo qui depasse de l'iphone et maintenant de l'ipad
Bon je m'arrête là je crois que j'ai fait le tour...
Je leur demande juste 50cent par produit vendu pour resoudre leur probleme et je suis riche
@ecosmeri :
"Un bug bounty, qu'est-ce que c'est ? Rien à voir avec la barre chocolatée, puisqu'il s'agit d'un programme de récompense de découvertes de failles de SÉCURITÉ"
Le lien entre l'absence d'un port jack (qui d'ailleurs n'est qu une rumeur), un chargeur de pencil ou d'une souris et la sécurité (et confidentialité des données) d'un iPhone... j'avoue que j'ai beau chercher je vois pas... !! ;-)
Désolé c'est pas sur cette piste la que tu deviendras riche ;-)
t'as qu'à ouvrir ta marque. puisque t'en est capable de corriger les autres.
@marenostrum :
J'irai pas jusque la ouvrir une boite demande des compétences différentes(que je n'ai pas) de celle de conception et design, mais ils peuvent m'embaucher :p
Mais bon je n'ai pas envi de travailler chez apple
je disais pas pour critiquer gratuitement, mais parce que quand on se sent capable, c'est plus facile d'ouvrir ta boite directement et appliquer librement tes idées, que se faire emboucher chez les autres avec des marges de manœuvre limitées.
@ecosmeri :
Il me semble que la moitié des problèmes que tu cites ont fait l'objet d'un programme de qualité - battery et boutons iPhone 5, bumper pour l'iPhone 4...
Le reste n'est pas un problème mais une décision en terme de design. La coque batterie pour iPhone fonctionne parfaitement et tient très bien en main, en plus d'être super facile à utiliser. Le Pencil se recharge complètement à une vitesse ahurissante et est le meilleur stylet de sa catégorie. La caméra qui dépasse des iPhones 6 et 6S, non seulement ca ne gène en rien mais la grande majorité des smartphones l'ont toujours fait.
Bref.
défendre les grosses bêtises d'Apple, y a toujours quelqu'un pour ça sur Macgé... :D
fanboy spotted :)
@vincepalmer :
La camera ne te derange peut etre pas mais moi elle me derange et pas qu'un peu
C'est juste une horreur quand l'phone est posé sur une surface plane et ca correspond a 60% de l'usage de mon iphone
@ecosmeri :
Met le dans le bon orifice le pencil et peut être que ton problème sera résolu ;)
@ecosmeri :
"- rechargement de la magic mousse"
Ça, c'est en effet totalement indispensable ;)
Elle a quoi la charge du pencil je voie pas ? Tu charges avec le chargeur et si tu tombes en rade tu le plug dans l'iPad !
Le top quoi que demandé de plus ?
Ah oui je voie qui puisse gommer les mauvaises langues lol
@David :
C'est vrai que le chargement poireau ou avec un adaptateur est tellement pratique.
Ben je leur souhaite bonne chance. 9a me laisse plutôt comme une sensation d'une foutaise, mal embouchée et vouée à l'échec.
"Que ce soit en interne ou en externe, les failles sont maintenant plus difficiles à trouver, justifie-t-elle."
L'impression que ça donne c'est qu'ils se plongent de + en + vite dans une espèce de course à la pseudo innovation en perdant leur capacité à fournir des produits finis. Et les bugs,de plus en plus nombreux, ce sont les clampins qui les trouvent, pas eux.
Geohot aurait pu devenir milliardaire depuis longtemps si Apple avait acquiescé son boulot depuis le lancement du premier iPhone...
Belle initiative d Apple
Vu le gruyère que sont les produits Apple, ils vont finir ruinés les pauvres ...
C'est moins que le F.B.I.
@ecosmeri
Une petite cale en bois ferais l'affaire lol
RIP jailbreak les petit mecs font ça ont le talent pour trouver des failles de ce calibre.
Apple règlera le problème en les rémunérant et en intégrant leurs travaux pour renforcer la sécurité.
Apple .. jusqu'à 200.000 $ pour une faille
FBI .. un million de $ pour la même
"Allo, Mulder j'ai un truc à vous montrer. N'oubliez pas le chéquier"