Ouvrir le menu principal

MacGeneration

Recherche

Bug bounty : Apple va récompenser financièrement les découvertes de failles

Stéphane Moussie

vendredi 05 août 2016 à 10:36 • 33

AAPL

Apple n'a pas menti quand elle a déclaré qu'elle viendrait avec quelque chose d'inédit à la Black Hat 2016 : à la surprise de beaucoup, l'entreprise va lancer un bug bounty à l'automne.

Image Martin Cathrae CC BY-SA

Un bug bounty, qu'est-ce que c'est ? Rien à voir avec la barre chocolatée, puisqu'il s'agit d'un programme de récompense de découvertes de failles de sécurité. De nombreuses entreprises (Google, Facebook, Microsoft...) ont recours à cette opération pour renforcer la sécurité de leurs produits, mais Apple s'était tenue à l'écart jusqu'à maintenant.

La Pomme va faire les choses progressivement ; au départ, son bug bounty sera ouvert à seulement quelques dizaines de chercheurs avec lesquels elle a l'habitude de collaborer (mais si une personne extérieure venait à trouver une vulnérabilité, elle pourrait être incluse a posteriori). Le champ de recherche sera lui aussi restreint à quelques types de bugs d'iCloud et des terminaux iOS :

  • Composants firmware de la chaîne de démarrage sécurisé (secure boot) : jusqu'à 200 000 $ de récompense
  • Extraction de données confidentielles protégées par la Secure Enclave : jusqu'à 100 000 $
  • Exécution de code arbitraire avec des privilèges kernel : jusqu'à 50 000 $
  • Accès non autorisé à un compte iCloud sur les serveurs d'Apple : jusqu'à 50 000 $
  • Accès à partir d'un processus sandboxé à des données utilisateurs situées en dehors de la sandbox : jusqu'à 25 000 $

Les vulnérabilités doivent fonctionner sur la dernière version stable d'iOS et les derniers iPhone et iPad s'il s'agit d'un problème matériel — comme ce peut être le cas pour la Secure Enclave.

Les chercheurs s'engageront à ne pas dévoiler publiquement leurs trouvailles jusqu'à ce qu'Apple les corrige. De son côté, Cupertino fera son possible pour les corriger le plus rapidement possible, mais ne donnera pas d'échéance.

Comme d'autres bug bounty le proposent, Apple pourra verser la récompense directement à une œuvre de charité si un généreux chercheur en fait la demande. L'entreprise pourra aussi doubler la donation avec ses propres fonds, si elle le décide.

Pourquoi, au fait, Apple se met-elle à payer les personnes qui pointent du doigt les défauts de sécurité de ses produits ? Que ce soit en interne ou en externe, les failles sont maintenant plus difficiles à trouver, justifie-t-elle. Ces incitations financières sont un moyen d'encourager les spécialistes à examiner ses produits.

Il s'agit aussi d'une réponse au phénomène de ventes de failles à des entreprises tierces. L'iPhone 5c de San Bernardino a été déverrouillé grâce à une vulnérabilité inconnue d'Apple achetée par le FBI à un tiers.

Plusieurs spécialistes notent que les récompenses offertes par Apple ne détourneront sans doute pas les black hat qui peuvent vendre leurs découvertes jusqu'à 1 million de dollars à des gouvernements ou des organisations criminelles.

Le chercheur Rich Mogull soulève par ailleurs deux autres problèmes potentiels des bugs bounty en général : un déluge de signalement de bugs mal renseignés et mal validés qui peut accaparer l'équipe technique, et des négociations financières qui peuvent être délicates. Toutefois, il est optimiste concernant le programme d'Apple.

Apple le fait à sa façon. Elle se concentre sur la qualité, pas la quantité. [...] Je pense que c'est un bon début. Apple n'avait pas besoin d'un [bug bounty], mais elle va certainement en tirer profit.

Source :

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Sniffnet, un outil de surveillance du réseau simple, gratuit, open-source et multiplateforme

14:00

• 0


Avec Grok 3, Elon Musk continue de courir après OpenAI

11:50

• 32


Deux nouveaux adaptateurs Ethernet 10 Gb/s chez QNAP, en USB4 et Thunderbolt

10:35

• 7


Le Mexique menace d’attaquer Google en justice pour l’appellation « golfe d’Amérique »

09:59

• 33


Image Playground peut verser dans les stéréotypes pour générer des visages

17/02/2025 à 21:45

• 50


Incogni : on l'a testé, notre bilan après 12 mois d'utilisation 📍

17/02/2025 à 20:55


Nos conseils pour acheter des produits Apple à prix réduit

17/02/2025 à 18:51

• 35


Le métro parisien de nouvelle génération rajeunit l'USB-A

17/02/2025 à 16:30

• 230


De nouveaux problèmes de compatibilités entre macOS Sequoia et Microsoft Exchange ?

17/02/2025 à 15:00

• 24


Sosh : le forfait 20 Go en Série limitée va augmenter sauf refus de votre part

17/02/2025 à 12:40

• 80


Western Digital divorce de SanDisk (et veut fabriquer des disques de 100 To)

17/02/2025 à 11:00

• 21


Arm vendrait son premier processeur clé en main à Meta

17/02/2025 à 10:07

• 3


Spotify lancerait en 2025 une option payante pour les super fans de musique

17/02/2025 à 09:32

• 39


Des écrans, mais surtout des robots humanoïdes. Futur joyeux ou apocalyptique ? La semaine de Gurman

16/02/2025 à 20:30

• 34


Promo : le MacBook Air M3 16 Go à 1099 € (+ une cagnotte de 109 € chez Leclerc)

16/02/2025 à 18:16

• 21


Easter Egg : quand Apple cache des petites blagues dans ses produits

16/02/2025 à 10:00

• 18