Sécurité : Apple va payer jusqu'à un million de dollars la faille iOS ou macOS

Mickaël Bazoge |

À la faveur de sa conférence sur la sécurité tenue durant le Black Hat de Las Vegas, Apple a annoncé l'extension de son programme de chasse aux bugs (« bug bounty ») à macOS, watchOS, tvOS et iCloud, comme la rumeur l'avait prédit il y a quelques jours.

Durant la conférence Apple. Images : @Jesse D'Aguanno.

Ce programme était attendu de longue date, en fait depuis sa mise en place qui remonte à l'été 2016… mais qui ne concernait qu'iOS jusqu'à présent. Et uniquement pour une poignée de spécialistes en sécurité triés sur le volet…

Le nouveau programme sera ouvert d'ici la fin de l'année à tous les chercheurs, ce qui limitera certainement la communication de vulnérabilités « zero day » sur macOS (les détails sur ces failles sont dévoilées sans que le constructeur ait été au préalable mis au courant). Actuellement, les chercheurs ne sont guère motivés pour prévenir Apple d'une découverte en l'absence d'un bug bounty pour la plateforme. Cela devrait changer avec ce nouveau programme, ce dont on ne peut que se féliciter.

Autre motif de satisfaction : Apple a sérieusement revu à la hausse le montant des primes. Le maximum était de 200 000 $ en fonction de la nature de la faille ; le plafond passe à 1 million de dollars. De quoi concurrencer un peu mieux les offres d'éditeurs qui cherchent à exploiter les vulnérabilités (pour espionner ou siphonner discrètement des données).

Dans le cadre du nouveau iOS Security Research Device Program, Apple va également proposer aux chercheurs des iPhone n'intégrant pas toutes les fonctions de sécurité des appareils pour le grand public. Ces chasseurs de bugs auront donc un accès facile aux couches les plus basses du système.

Cela leur permettra de dégotter des vulnérabilités quasiment impossibles à détecter aujourd'hui, mais qui pourraient se montrer particulièrement dangereuses. Ce programme, pour lequel il faudra montrer patte blanche, sera mis en place dans le courant de l'année prochaine.

avatar raoolito | 

c'est excellent... enfin on peut supposer que s'ils payent, du coup ils vont se donner du mal pour combler les failles ausis?
parce que la vitesse n'est pas leur fort de ce côté là...

avatar Depret Lucas | 

@raoolito

Ah bon depuis quand ce n’est pas leur fort ?

avatar raoolito | 

la vitesse de comblement des failles? je vous rassure, ca n'a jmaais ete leur fort. exemple récent avec le bug facetime qui etait activé video et son avant qu'on décroche. C'est un gamin américain qui a découvert ca, il a prévenu sa mère qui a prévenu apple qui n'a eu aucune réponse.
Quand la maman a balancé ca sur twitter, dans les heures qui ont suivit, apple a bloqué la multi conversation sur facetime etc.. on connait la suite.

apple n'est en correction de bug (n'était pas?) dans sa priorité, on ne peut qu'espérer que ca changera.. (pour nos devices ce serait chouette)

avatar Depret Lucas | 

@raoolito

Bah justement quelques heures après c’était « bon » donc 🤷‍♂️ ça reste déjà plus rapide que les autres en tout cas

avatar raoolito | 

oui, si vous voulez. disons que lorsque ca a ete divulgué ils ont agit. Mais en gros on entent plus parler de chercheurs ayant finis par divulguer sans réponse d'apple au préalable que de l'inverse.
encore une fois, je suis le dernier à me plaindre pour me plaindre, j'aimerais qu'il soient sur le devant de la scène pour le nettoyage du code, c bon pour moi, pour leur image etc...

avatar Depret Lucas | 

@raoolito
Là ça va changer donc tant mieux dans un sens maintenant il faut qu’ils se bougent

avatar raoolito | 

vu les tarifs, je me dis qu'ils vont bouger :)
on en saura plus d'ici quelques mois, parce que malheureusement, les retours de failles sont fréquents, surtout si on considère tous les Os en meme temps...

avatar Depret Lucas | 

@raoolito

Oui voilà, déjà que l’iPhone est bien sécurisé avec le temps ce sera encore mieux :)

avatar mouahaha | 

C'est tellement plus "rapide" que les autres que la faille de gatekeeper a mis 5 mois pour être corrigée...

avatar Dimemas | 

Oh il y en a eu des failles de sécurité !
Et même pas mal qui ont été comblées des mois et des mois après....

D’ailleurs tout le monde parle de la grande sécurité de macOS et iOS, mais souvent les failles s’étaient trouvées en un temps record, c’est assez impressionnant

avatar eastsider | 

@raoolito

Ton com n'est qu'un ramassis d'excréments !  lent pour combler des failles ... ? Tu t'entends?

avatar raoolito | 

@eastsider

heuuu.. what?

avatar en ballade | 

@Depret Lucas

I am root

avatar fte | 

@Depret Lucas

"Ah bon depuis quand ce n’est pas leur fort ?"

Sur Mac ? Depuis 1984.

avatar Depret Lucas | 

@fte

Les macs sont les ordinateurs portables les plus secure🤷‍♂️ faut le temps de trouver une faille

avatar fte | 

@Depret Lucas

Mais bien sûr. Seulement lorsqu’ils sont couverts de chocolat et dans leur emballage en alu cependant. Si on les lèche, c’est foutu.

avatar Paquito06 | 

@Depret Lucas

“Les macs sont les ordinateurs portables les plus secure🤷‍♂️ faut le temps de trouver une faille”

C’est sincere ou? Non parce que si Apple possedait 95% du parc mondial depuis 30 ans, on n’aurait jamais vu un virus sous Windows et on se servirait de mac OS pour essorer nos pâtes!

avatar Eurylaime | 

@Depret Lucas : ils sont très lent pour combler les failles et ça ne date pas d'hier. Et pour ce qui est de la sécurité, Windows est autrement mieux suivit que macOS. Microsoft a appris durement mais aujourd'hui ils font très attention, Apple à côté c'est de l’amateurisme.

avatar Depret Lucas | 

@Eurylaime

Windows est tellement sécurisé qu’on dit que macOS est plus secure 🤣🤣🤣

avatar fte | 

@Depret Lucas

"Windows est tellement sécurisé qu’on dit que macOS est plus secure 🤣🤣🤣"

Le problème premier en matière de sécurité, c’est de croire.

avatar popeye1 | 

Pour le coup. ils en ont du fric. Ils pourraient penser aussi à mettre de côté l’optimisation fiscale et payer leurs impôts en France plutôt qu’Irlande.

avatar macfredx | 

@popeye1

"Pour le coup. ils en ont du fric. Ils pourraient penser aussi à mettre de côté l’optimisation fiscale et payer leurs impôts en France plutôt qu’Irlande."

Aucun rapport... 🙄

avatar en ballade | 

@macfredx

Le rapport c'est qu'il s'agit de notre sécurité à nous francais

avatar bonnepoire | 

@en ballade
Consomme intelligent petit français. C'est trop demander...

Tu penses que microsoft paie plus d'impots? La blague...

avatar IceWizard | 

@popeye1

« Pour le coup. ils en ont du fric. Ils pourraient penser aussi à mettre de côté l’optimisation fiscale et payer leurs impôts en France plutôt qu’Irlande. »

Avec un nom pareil, t’es un marin, non ? C’est marrant je ne t’ai jamais entendu faire le moindre commentaire sur le fait que depuis 1941, TOUTES LES ENTREPRISES DOMICILIÉES DANS LES ZONES PORTUAIRES FRANÇAISES SONT EXEMPTÉES D’IMPÔTS !! Cela représente des sommes colossales, dont manifestement les seuls à s’émouvoir sont les commissaires européens qui envoient des remontrances tous les ans, à l’état.

Oui, je sais, tu t’en fout complètement.

De même que rikiki le râleur, le gars qui passe son temps à hurler contre Apple, alors que lui-même bénéficie de la niche fiscale PREFON, réservée aux membres de la fonction publique, lui permettant de pas payer d’impôts (dans une limite de 12.000 € par).

Enfin bref, revenons dans le sujet. Ce n’est pas trop tôt qu’Apple agisse sur ce sujet, pour éviter que les failles iOS/MacOS terminent dans les agences à trois lettres, ou d’obscures officines douteuses.

Pages

CONNEXION UTILISATEUR