Bug bounty : Apple va récompenser financièrement les découvertes de failles

Stéphane Moussie |

Apple n'a pas menti quand elle a déclaré qu'elle viendrait avec quelque chose d'inédit à la Black Hat 2016 : à la surprise de beaucoup, l'entreprise va lancer un bug bounty à l'automne.

Image Martin Cathrae CC BY-SA

Un bug bounty, qu'est-ce que c'est ? Rien à voir avec la barre chocolatée, puisqu'il s'agit d'un programme de récompense de découvertes de failles de sécurité. De nombreuses entreprises (Google, Facebook, Microsoft...) ont recours à cette opération pour renforcer la sécurité de leurs produits, mais Apple s'était tenue à l'écart jusqu'à maintenant.

La Pomme va faire les choses progressivement ; au départ, son bug bounty sera ouvert à seulement quelques dizaines de chercheurs avec lesquels elle a l'habitude de collaborer (mais si une personne extérieure venait à trouver une vulnérabilité, elle pourrait être incluse a posteriori). Le champ de recherche sera lui aussi restreint à quelques types de bugs d'iCloud et des terminaux iOS :

  • Composants firmware de la chaîne de démarrage sécurisé (secure boot) : jusqu'à 200 000 $ de récompense
  • Extraction de données confidentielles protégées par la Secure Enclave : jusqu'à 100 000 $
  • Exécution de code arbitraire avec des privilèges kernel : jusqu'à 50 000 $
  • Accès non autorisé à un compte iCloud sur les serveurs d'Apple : jusqu'à 50 000 $
  • Accès à partir d'un processus sandboxé à des données utilisateurs situées en dehors de la sandbox : jusqu'à 25 000 $

Les vulnérabilités doivent fonctionner sur la dernière version stable d'iOS et les derniers iPhone et iPad s'il s'agit d'un problème matériel — comme ce peut être le cas pour la Secure Enclave.

Les chercheurs s'engageront à ne pas dévoiler publiquement leurs trouvailles jusqu'à ce qu'Apple les corrige. De son côté, Cupertino fera son possible pour les corriger le plus rapidement possible, mais ne donnera pas d'échéance.

Comme d'autres bug bounty le proposent, Apple pourra verser la récompense directement à une œuvre de charité si un généreux chercheur en fait la demande. L'entreprise pourra aussi doubler la donation avec ses propres fonds, si elle le décide.

Pourquoi, au fait, Apple se met-elle à payer les personnes qui pointent du doigt les défauts de sécurité de ses produits ? Que ce soit en interne ou en externe, les failles sont maintenant plus difficiles à trouver, justifie-t-elle. Ces incitations financières sont un moyen d'encourager les spécialistes à examiner ses produits.

Il s'agit aussi d'une réponse au phénomène de ventes de failles à des entreprises tierces. L'iPhone 5c de San Bernardino a été déverrouillé grâce à une vulnérabilité inconnue d'Apple achetée par le FBI à un tiers.

Plusieurs spécialistes notent que les récompenses offertes par Apple ne détourneront sans doute pas les black hat qui peuvent vendre leurs découvertes jusqu'à 1 million de dollars à des gouvernements ou des organisations criminelles.

Le chercheur Rich Mogull soulève par ailleurs deux autres problèmes potentiels des bugs bounty en général : un déluge de signalement de bugs mal renseignés et mal validés qui peut accaparer l'équipe technique, et des négociations financières qui peuvent être délicates. Toutefois, il est optimiste concernant le programme d'Apple.

Apple le fait à sa façon. Elle se concentre sur la qualité, pas la quantité. [...] Je pense que c'est un bon début. Apple n'avait pas besoin d'un [bug bounty], mais elle va certainement en tirer profit.

avatar misterbrown | 

Je ne trouve pas ça cher payé.

Après la frontière doit être dure à établir entre récompense et incitation !

avatar Mrleblanc101 | 

@misterbrown :
C'est le double de ce que Microsoft paye quand même...

avatar r e m y | 

Bonne initiative.
Maintenant, ils pourraient lancer la même chose pour la chasse aux bugs (pas uniquement les failles de sécurité)...

avatar misterbrown | 

"Accès non autorisé à un compte iCloud sur les serveurs d'Apple : jusqu'à 50 000 $"

Quand on voit le tord que ça pourrait leur causer....
Les comptes des Peoples ou simplement des millions de personnes qui leur font confiance.

Bref. Drôle de calcul.

avatar postman94801 | 

@misterbrown :
Il me semble plutôt que les people en question avaient comme mot de passe : 1234. Si Apple n'offre que 50000 c'est qu'ils sont sûr de leur coup.

avatar Wodraks | 

@postman94801 :
Donc à l'inverse, quand tu n'es pas sur de ton coup, tu augmentes les gains si quelqu'un trouve une faille ?
Au contraire. Si je suis sûr à 100% qu'il n'y a aucune faille, je suis prêt à offrir 1 milliard à celui qui en trouvera une.

avatar XiliX | 

@misterbrown

De l'aveu même du pirate qui a été condamné il n'y a pas longtemps, c'est plus la faute de ces personnes même.
Soit le mot de passe était facilement trouvable dans les éseaux sociaux, soit ils se sont fait aoir par phishing. En tout cas, aucun piratage direct suite à une faille d'iCloud.

avatar Mrleblanc101 | 

@misterbrown :
Le CelebGate n'a pas été cause par un faille d'iCloud... Les hackers avait récupérés des mdp de services qui avait été hacker et découvert la réponse à des questions de sécurité

avatar bhelden | 

Pour gagner des sous tout le monde te dit "faut faire médecine ou pilote d'avion" mais hackeur personne n'en parle hein

avatar heret | 

Ça fait un petit moment que la faille de San Andreas a été découverte à proximité de Cupertino. Il va falloir aller plus loin...

avatar malcolmZ07 | 

@heret :
Très dmfort

avatar abioninho | 

Avec la bêta de Sierra je vais devenir riche MDR

avatar Mrleblanc101 | 

@abioninho :
Bug =/= Faille de sécurité

avatar ecosmeri | 

Et les failles de design ca rapporte rien? Rhoooo

- coque dessous le macbookproretina qui fait du bruit
- iphone 6 qui plie
- probleme reseau iphone 4
- probleme bouton iphone 5
- ipad air qui vibre quand le son est trop fort
- rechargement de la magic mousse
- rechargement du pencil
- plus moyen de connecter quelque chose au macbook retina
- ???? Plus de jack sur l'iphone
- coque recharge iphone bossus
- appareil photo qui depasse de l'iphone et maintenant de l'ipad

Bon je m'arrête là je crois que j'ai fait le tour...
Je leur demande juste 50cent par produit vendu pour resoudre leur probleme et je suis riche

avatar cecile_aelita | 

@ecosmeri :
"Un bug bounty, qu'est-ce que c'est ? Rien à voir avec la barre chocolatée, puisqu'il s'agit d'un programme de récompense de découvertes de failles de SÉCURITÉ"
Le lien entre l'absence d'un port jack (qui d'ailleurs n'est qu une rumeur), un chargeur de pencil ou d'une souris et la sécurité (et confidentialité des données) d'un iPhone... j'avoue que j'ai beau chercher je vois pas... !! ;-)
Désolé c'est pas sur cette piste la que tu deviendras riche ;-)

avatar marenostrum | 

t'as qu'à ouvrir ta marque. puisque t'en est capable de corriger les autres.

avatar ecosmeri | 

@marenostrum :
J'irai pas jusque la ouvrir une boite demande des compétences différentes(que je n'ai pas) de celle de conception et design, mais ils peuvent m'embaucher :p

Mais bon je n'ai pas envi de travailler chez apple

avatar marenostrum | 

je disais pas pour critiquer gratuitement, mais parce que quand on se sent capable, c'est plus facile d'ouvrir ta boite directement et appliquer librement tes idées, que se faire emboucher chez les autres avec des marges de manœuvre limitées.

avatar vincepalmer | 

@ecosmeri :
Il me semble que la moitié des problèmes que tu cites ont fait l'objet d'un programme de qualité - battery et boutons iPhone 5, bumper pour l'iPhone 4...
Le reste n'est pas un problème mais une décision en terme de design. La coque batterie pour iPhone fonctionne parfaitement et tient très bien en main, en plus d'être super facile à utiliser. Le Pencil se recharge complètement à une vitesse ahurissante et est le meilleur stylet de sa catégorie. La caméra qui dépasse des iPhones 6 et 6S, non seulement ca ne gène en rien mais la grande majorité des smartphones l'ont toujours fait.
Bref.

avatar vrts | 

défendre les grosses bêtises d'Apple, y a toujours quelqu'un pour ça sur Macgé... :D

fanboy spotted :)

avatar ecosmeri | 

@vincepalmer :
La camera ne te derange peut etre pas mais moi elle me derange et pas qu'un peu
C'est juste une horreur quand l'phone est posé sur une surface plane et ca correspond a 60% de l'usage de mon iphone

avatar niicoo76 | 

@ecosmeri :
Met le dans le bon orifice le pencil et peut être que ton problème sera résolu ;)

avatar SMDL | 

@ecosmeri :

"- rechargement de la magic mousse"

Ça, c'est en effet totalement indispensable ;)

avatar Cyrtop | 

Elle a quoi la charge du pencil je voie pas ? Tu charges avec le chargeur et si tu tombes en rade tu le plug dans l'iPad !
Le top quoi que demandé de plus ?
Ah oui je voie qui puisse gommer les mauvaises langues lol

avatar sachouba | 

@David :
C'est vrai que le chargement poireau ou avec un adaptateur est tellement pratique.

avatar jipeca | 

Ben je leur souhaite bonne chance. 9a me laisse plutôt comme une sensation d'une foutaise, mal embouchée et vouée à l'échec.
"Que ce soit en interne ou en externe, les failles sont maintenant plus difficiles à trouver, justifie-t-elle."
L'impression que ça donne c'est qu'ils se plongent de + en + vite dans une espèce de course à la pseudo innovation en perdant leur capacité à fournir des produits finis. Et les bugs,de plus en plus nombreux, ce sont les clampins qui les trouvent, pas eux.

avatar enzo0511 | 

Geohot aurait pu devenir milliardaire depuis longtemps si Apple avait acquiescé son boulot depuis le lancement du premier iPhone...

avatar Ginger bread | 

Belle initiative d Apple

avatar TmrFromNO | 

Vu le gruyère que sont les produits Apple, ils vont finir ruinés les pauvres ...

avatar Moonwalker | 

C'est moins que le F.B.I.

avatar Cyrtop | 

@ecosmeri

Une petite cale en bois ferais l'affaire lol

avatar Elmediterraneo | 

RIP jailbreak les petit mecs font ça ont le talent pour trouver des failles de ce calibre.
Apple règlera le problème en les rémunérant et en intégrant leurs travaux pour renforcer la sécurité.

avatar IceWizard | 

Apple .. jusqu'à 200.000 $ pour une faille
FBI .. un million de $ pour la même
"Allo, Mulder j'ai un truc à vous montrer. N'oubliez pas le chéquier"

CONNEXION UTILISATEUR