Apple reçoit la crème des hackers à l'aube du lancement de son bug bounty

Stéphane Moussie |

Un aréopage de hackers a été invité par Apple à Cupertino pour discuter du lancement de son nouveau programme de sécurité, révèle Forbes. Participent à cette réunion confidentielle se tenant aujourd'hui Luca Todesco (alias qwertyoruiop), qui a déjà jailbreaké l'iPhone 7, Nicholas Allegra (comex), qui avait notamment créé JailbreakMe, et Patrick Wardle, qui a découvert une vulnérabilité dans Gatekeeper, parmi d'autres.

Image sarahcstanley CC BY

La firme va leur présenter son bug bounty, un programme de récompense de découvertes de failles de sécurité annoncé début août lors de la Black Hat. Contrairement à la plupart des entreprises qui ont un bug bounty, la Pomme a choisi de sélectionner les chercheurs pouvant y participer (mais la porte resterait entrouverte pour les autres).

Toujours d'après Forbes, en plus des hackers susnommés, Francisco Alonso, Stefan Esser, Braden Thomas, Jonathan Zdziarski, Alex Ionescu, Steven De Franco (ih8sn0w), Hao Xu (de la team Pangu) et Pedro Vilaça font partie du programme qui doit débuter dans les prochains jours. Interrogé par nos soins en juin 2015, ce dernier estimait qu'Apple « [n'avait] pas une culture de la sécurité adéquate ». Il appelait à la mise en place d'un « programme de sécurité public ». Il a visiblement été entendu.

Apple va offrir jusqu'à 200 000 $ pour la découverte d'une faille dans iOS ou iCloud. Ces incitations financières sont un moyen d'encourager les spécialistes à examiner ses produits, même si elles ne sont pas aussi rémunératrices que les transferts sur le marché noir.


avatar sangoke | 

C'est bizarre qu'ils invitent quelqu'un de la Pangu Team qui créé et rends publique des jailbreak sachant qu'apple n'aime pas ça. Certes ils donnent aussi les failles à Apple mais pour le coup Apple ne cautionnant pas le jailbreak c'est bizarre. Lucas Tedesco lui c'est normal, il les publie pas ses jailbreaks, stephan Esser non plus. Bon après Comex et ih8sn0w ont longtemps fait partie de teams de jailbreak aussi mais moins aujourd'hui, ils sont plus dans la recherche..

avatar MarcMame | 

@sangoke :
Je n'ai pas le moindre souvenir que Apple se soit exprimé de manière officielle sur le jailbreak.
Le cas échéant : tu supputes !
Mais je peux me tromper aussi...

avatar reborn | 

@sangoke :
Depuis 2012 Apple crédite les teams de jailbreak dans ses bulletins de sécurité.

Que ce soit un "jailbreak" ou autre, pour Apple cela reste de la communication de faille de sécurité de manière publique et entièrement gratuite.

avatar bhelden | 

Je ne pense pas qu'Apple aime ou n'aime pas le jailbreak. Simplement, ils se contentent de boucher les failles trouvées par les hackers pour augmenter leur sécurité (et leur image aussi).

avatar awk | 

@sangoke

Apple bouche les failles qui permettent le jailbreak pour sécuriser leur système bien plus que pour lutter contre le jailbreak qui n'est pas vécu comme un pb particulièrement inquiétant pour l'économie de l'entreprise.

avatar occam | 

Sur le blog d’Alex Ionescu, cité dans l’article, l’on trouve un commentaire très fourni au sujet des améliorations de la sécurité dans Windows 10 Redstone 1, alias “Anniversary Update”, en particulier le Kernel Address Space Layout Randomization (KASLR).

Tous ceux qui opinent ici de façon péremptoire sur Windows 10 et croient pouvoir affirmer que l’Anniversary Update n’apporte rien de nouveau ou d’essentiel devraient lire le billet d’Alex avant de se lancer.

Il faut saluer l’initiative d’Apple. Mais s’ils sont sérieux, ils ont du pain sur planche.

avatar awk | 

@occam

En terme de sécurité et de qualité MS fait un travail de grande valeur et le noyau NT 10 est tout sauf un bricolage.

C'est peut-être un des noyaux les plus sérieux de l'offre actuelle.

avatar reborn | 

@awk :
Certes mais il y a tjrs autant de saloperies pour te pourrir la vie sur windows. Je precise que je suis sous w10. Moi je n'ai pas de problème particulier et je n'ai pas d'antivirus mais je pense qu'avec os x l'on doit quand même avoir l'esprit un peu plus tranquille.

avatar awk | 

@reborn

Et c'est se bercer d'illusion que de croire que c'est le fruit de faiblesse de Windows, MacOS est relativement protégé de part sa situation de niche, mais l'artificielle sentiment de sécurité inébranlable de bien des utilisateurs reste assez inquiétant quant à ce que pourrait être le futur :-)

avatar Ginger bread | 

@awk :
plus 1 ! :)

avatar occam | 

@reborn :
« je pense qu'avec os x l'on doit quand même avoir l'esprit un peu plus tranquille »

Non.

Voir les commentaires d'awk, plus haut. Il n'y a rien à ajouter.

avatar awk | 

@reborn

En terme de sécurité les trois premiers chausse-trapes sont :
- La pensée magique
- La foi aveugle
- La confience irrationnelle

Même dans le cadre professionnelle, je croise encore trop souvent de jeunes IT, un rien dogmatiques, qui surestime la sécurité que leur apporterait naturellement l'emplois de GNU/Linux

avatar reborn | 

@awk :
Je continue de penser que sous windows, cliquer n'importe où peu très vite devenir fatal. Perso quand je dois visiter un site chelou, vraiment chelou j'utilise safari ios

avatar awk | 

@reborn

Mais c'est encore le cas, même si cela l'est déjà un peu moins qu'il n'y a peu, quant à savoir ce qu'il en sera demain....

Les Mac sont de moins en moins à l'abris et au vue du niveau de confiance aveugle de la grande majorité des utilisateurs ça peut faire mal :-)

avatar jackhal | 

Tiens, ça a cinq ans et ça remonte jusqu'à 2004... douze ans de mise en garde sur la sécurité d'Apple, et d'avertissements pour "demain".
http://daringfireball.net/2011/05/wolf

Douze ans pendant lesquels Apple a mis en place divers trucs comme l'ASLR, XProtect, le sandboxing, Gatekeeper, SIP... C'est pas comme s'ils restaient les bras croisés en attendant le déluge.

Après, c'est certain que si on pirate, qu'on utilise des keygens (salut MacG !) venus d'on ne sait où, demandant de désactiver Gatekeeper, et qu'on tape son mot de passe admin pendant l'installation - d'on ne sait trop quoi, au final - oui c'est dangereux... mais ça n'est pas une question de sécurité. C'est du baiting, et rien ne peut empêcher ça mis à part un système complètement verrouillé. Ça existe partout : si tu sais afficher la console d'un navigateur web, affiche-la sur Facebook... marrant, non ? ;-)

Je ne dis pas que les produits Apple sont 100% infaillibles, hein, mais que niveau sécu, c'est très correct depuis longtemps. En particulier, iOS est nettement meilleur comparé à Android : quand une faille est corrigée, le patch est disponible instantanément (du moins, tant qu'on a un appareil qui permet les mises à jour de l'OS). Et les dernières mises à jour ne ralentissent plus les appareils comme avant, ce qui encourage encore plus à mettre à jour.
Même chose coté OS X (où on aurait même tendance à gagner en perfs), mais c'est maintenant pareil dans le monde Windows : finies les mises à jour à la Vista qui faisaient ramer ton ancien PC. Et Microsoft fait le forcing pour les mises à jour, enfin, et ne fait plus payer les mises à jour (enfin... ça se discute).
Car la politique des mises à jour fait partie intégrale de la sécurité. Et celle d'Apple a toujours été dans le haut du panier : prix des màj OS X peu élevé, puis gratuité, màj d'iOS sans équivalent dans le monde mobile...

avatar awk | 

@jackhal

Tu te trompes sur mon propos ;-)

Je dit juste, avec d'autre, que les fondamentaux de MacOS n'en font pas un système plus sure que Windows pas plus que ce sont les fondamentaux de Windows qui posent pb.

Tu défends ici le travail d'Apple sur la sécurité c'est sans objet par rapport à ce que sont nos propos.

Je le répète, nous ne disons pas que MacOS est moins sécurisé que d'autre, mais que bien des utilisateurs se trompent sur les raison de leur tranquillité ;-)

avatar jackhal | 

Oh tiens, j'en profite pour placer une histoire dingo en rapport avec mon message précédent.

Le beau-père d'un ami est très content de Windows 10. Notamment du service après-vente : un type "de Microsoft" l'a appelé pour lui proposer de lui faire du ménage afin d'économiser de la place sur son disque dur. Comme ça, gratuitement, à distance... chose qu'il a acceptée. Il lui a donc donné son mot de passe par téléphone pour qu'il puisse prendre le contrôle de la machine à distance et qu'il effectue le boulot.
"Pas mal, hein ?", qu'il nous a demandé.

On a halluciné.

avatar awk | 

@jackhal

L'ingénierie sociale est un puissant moteur d'arnaques.

Des fortunes ont été dérobées sur des modes opératoires du même acabit que celui que tu décris.

Et même très alerte il n'est pas si simple de s'en prémunir, voir impossible.

C'est extrêmement pervers et efficace

avatar GoldenPomme | 

Ca arrive ou arrivera aussi aux utilisateurs de mac, t'en fait pas. Les cons yen a partout et avec l'arrivée massif de ces dernières années ça va être la fête aussi.

avatar Neufouad | 

Ça promet s'ils se font hacker la confidentialité de la réunion d'entrée de jeu…

CONNEXION UTILISATEUR