Sécurité : Apple va payer jusqu'à un million de dollars la faille iOS ou macOS
À la faveur de sa conférence sur la sécurité tenue durant le Black Hat de Las Vegas, Apple a annoncé l'extension de son programme de chasse aux bugs (« bug bounty ») à macOS, watchOS, tvOS et iCloud, comme la rumeur l'avait prédit il y a quelques jours.
Ce programme était attendu de longue date, en fait depuis sa mise en place qui remonte à l'été 2016… mais qui ne concernait qu'iOS jusqu'à présent. Et uniquement pour une poignée de spécialistes en sécurité triés sur le volet…
Le nouveau programme sera ouvert d'ici la fin de l'année à tous les chercheurs, ce qui limitera certainement la communication de vulnérabilités « zero day » sur macOS (les détails sur ces failles sont dévoilées sans que le constructeur ait été au préalable mis au courant). Actuellement, les chercheurs ne sont guère motivés pour prévenir Apple d'une découverte en l'absence d'un bug bounty pour la plateforme. Cela devrait changer avec ce nouveau programme, ce dont on ne peut que se féliciter.
Autre motif de satisfaction : Apple a sérieusement revu à la hausse le montant des primes. Le maximum était de 200 000 $ en fonction de la nature de la faille ; le plafond passe à 1 million de dollars. De quoi concurrencer un peu mieux les offres d'éditeurs qui cherchent à exploiter les vulnérabilités (pour espionner ou siphonner discrètement des données).
Dans le cadre du nouveau iOS Security Research Device Program, Apple va également proposer aux chercheurs des iPhone n'intégrant pas toutes les fonctions de sécurité des appareils pour le grand public. Ces chasseurs de bugs auront donc un accès facile aux couches les plus basses du système.
Cela leur permettra de dégotter des vulnérabilités quasiment impossibles à détecter aujourd'hui, mais qui pourraient se montrer particulièrement dangereuses. Ce programme, pour lequel il faudra montrer patte blanche, sera mis en place dans le courant de l'année prochaine.
c'est excellent... enfin on peut supposer que s'ils payent, du coup ils vont se donner du mal pour combler les failles ausis?
parce que la vitesse n'est pas leur fort de ce côté là...
@raoolito
Ah bon depuis quand ce n’est pas leur fort ?
la vitesse de comblement des failles? je vous rassure, ca n'a jmaais ete leur fort. exemple récent avec le bug facetime qui etait activé video et son avant qu'on décroche. C'est un gamin américain qui a découvert ca, il a prévenu sa mère qui a prévenu apple qui n'a eu aucune réponse.
Quand la maman a balancé ca sur twitter, dans les heures qui ont suivit, apple a bloqué la multi conversation sur facetime etc.. on connait la suite.
apple n'est en correction de bug (n'était pas?) dans sa priorité, on ne peut qu'espérer que ca changera.. (pour nos devices ce serait chouette)
@raoolito
Bah justement quelques heures après c’était « bon » donc 🤷♂️ ça reste déjà plus rapide que les autres en tout cas
oui, si vous voulez. disons que lorsque ca a ete divulgué ils ont agit. Mais en gros on entent plus parler de chercheurs ayant finis par divulguer sans réponse d'apple au préalable que de l'inverse.
encore une fois, je suis le dernier à me plaindre pour me plaindre, j'aimerais qu'il soient sur le devant de la scène pour le nettoyage du code, c bon pour moi, pour leur image etc...
@raoolito
Là ça va changer donc tant mieux dans un sens maintenant il faut qu’ils se bougent
vu les tarifs, je me dis qu'ils vont bouger :)
on en saura plus d'ici quelques mois, parce que malheureusement, les retours de failles sont fréquents, surtout si on considère tous les Os en meme temps...
@raoolito
Oui voilà, déjà que l’iPhone est bien sécurisé avec le temps ce sera encore mieux :)
C'est tellement plus "rapide" que les autres que la faille de gatekeeper a mis 5 mois pour être corrigée...
Oh il y en a eu des failles de sécurité !
Et même pas mal qui ont été comblées des mois et des mois après....
D’ailleurs tout le monde parle de la grande sécurité de macOS et iOS, mais souvent les failles s’étaient trouvées en un temps record, c’est assez impressionnant
@raoolito
Ton com n'est qu'un ramassis d'excréments ! lent pour combler des failles ... ? Tu t'entends?
@eastsider
heuuu.. what?
@Depret Lucas
I am root
@Depret Lucas
"Ah bon depuis quand ce n’est pas leur fort ?"
Sur Mac ? Depuis 1984.
@fte
Les macs sont les ordinateurs portables les plus secure🤷♂️ faut le temps de trouver une faille
@Depret Lucas
Mais bien sûr. Seulement lorsqu’ils sont couverts de chocolat et dans leur emballage en alu cependant. Si on les lèche, c’est foutu.
@Depret Lucas
“Les macs sont les ordinateurs portables les plus secure🤷♂️ faut le temps de trouver une faille”
C’est sincere ou? Non parce que si Apple possedait 95% du parc mondial depuis 30 ans, on n’aurait jamais vu un virus sous Windows et on se servirait de mac OS pour essorer nos pâtes!
@Depret Lucas : ils sont très lent pour combler les failles et ça ne date pas d'hier. Et pour ce qui est de la sécurité, Windows est autrement mieux suivit que macOS. Microsoft a appris durement mais aujourd'hui ils font très attention, Apple à côté c'est de l’amateurisme.
@Eurylaime
Windows est tellement sécurisé qu’on dit que macOS est plus secure 🤣🤣🤣
@Depret Lucas
"Windows est tellement sécurisé qu’on dit que macOS est plus secure 🤣🤣🤣"
Le problème premier en matière de sécurité, c’est de croire.
Pour le coup. ils en ont du fric. Ils pourraient penser aussi à mettre de côté l’optimisation fiscale et payer leurs impôts en France plutôt qu’Irlande.
@popeye1
"Pour le coup. ils en ont du fric. Ils pourraient penser aussi à mettre de côté l’optimisation fiscale et payer leurs impôts en France plutôt qu’Irlande."
Aucun rapport... 🙄
@macfredx
Le rapport c'est qu'il s'agit de notre sécurité à nous francais
@en ballade
Consomme intelligent petit français. C'est trop demander...
Tu penses que microsoft paie plus d'impots? La blague...
@popeye1
« Pour le coup. ils en ont du fric. Ils pourraient penser aussi à mettre de côté l’optimisation fiscale et payer leurs impôts en France plutôt qu’Irlande. »
Avec un nom pareil, t’es un marin, non ? C’est marrant je ne t’ai jamais entendu faire le moindre commentaire sur le fait que depuis 1941, TOUTES LES ENTREPRISES DOMICILIÉES DANS LES ZONES PORTUAIRES FRANÇAISES SONT EXEMPTÉES D’IMPÔTS !! Cela représente des sommes colossales, dont manifestement les seuls à s’émouvoir sont les commissaires européens qui envoient des remontrances tous les ans, à l’état.
Oui, je sais, tu t’en fout complètement.
De même que rikiki le râleur, le gars qui passe son temps à hurler contre Apple, alors que lui-même bénéficie de la niche fiscale PREFON, réservée aux membres de la fonction publique, lui permettant de pas payer d’impôts (dans une limite de 12.000 € par).
Enfin bref, revenons dans le sujet. Ce n’est pas trop tôt qu’Apple agisse sur ce sujet, pour éviter que les failles iOS/MacOS terminent dans les agences à trois lettres, ou d’obscures officines douteuses.
Pages