Apple n'a pas menti quand elle a déclaré qu'elle viendrait avec quelque chose d'inédit à la Black Hat 2016 : à la surprise de beaucoup, l'entreprise va lancer un bug bounty à l'automne.
Un bug bounty, qu'est-ce que c'est ? Rien à voir avec la barre chocolatée, puisqu'il s'agit d'un programme de récompense de découvertes de failles de sécurité. De nombreuses entreprises (Google, Facebook, Microsoft...) ont recours à cette opération pour renforcer la sécurité de leurs produits, mais Apple s'était tenue à l'écart jusqu'à maintenant.
La Pomme va faire les choses progressivement ; au départ, son bug bounty sera ouvert à seulement quelques dizaines de chercheurs avec lesquels elle a l'habitude de collaborer (mais si une personne extérieure venait à trouver une vulnérabilité, elle pourrait être incluse a posteriori). Le champ de recherche sera lui aussi restreint à quelques types de bugs d'iCloud et des terminaux iOS :
- Composants firmware de la chaîne de démarrage sécurisé (secure boot) : jusqu'à 200 000 $ de récompense
- Extraction de données confidentielles protégées par la Secure Enclave : jusqu'à 100 000 $
- Exécution de code arbitraire avec des privilèges kernel : jusqu'à 50 000 $
- Accès non autorisé à un compte iCloud sur les serveurs d'Apple : jusqu'à 50 000 $
- Accès à partir d'un processus sandboxé à des données utilisateurs situées en dehors de la sandbox : jusqu'à 25 000 $
Les vulnérabilités doivent fonctionner sur la dernière version stable d'iOS et les derniers iPhone et iPad s'il s'agit d'un problème matériel — comme ce peut être le cas pour la Secure Enclave.
Les chercheurs s'engageront à ne pas dévoiler publiquement leurs trouvailles jusqu'à ce qu'Apple les corrige. De son côté, Cupertino fera son possible pour les corriger le plus rapidement possible, mais ne donnera pas d'échéance.
Comme d'autres bug bounty le proposent, Apple pourra verser la récompense directement à une œuvre de charité si un généreux chercheur en fait la demande. L'entreprise pourra aussi doubler la donation avec ses propres fonds, si elle le décide.
Pourquoi, au fait, Apple se met-elle à payer les personnes qui pointent du doigt les défauts de sécurité de ses produits ? Que ce soit en interne ou en externe, les failles sont maintenant plus difficiles à trouver, justifie-t-elle. Ces incitations financières sont un moyen d'encourager les spécialistes à examiner ses produits.
Il s'agit aussi d'une réponse au phénomène de ventes de failles à des entreprises tierces. L'iPhone 5c de San Bernardino a été déverrouillé grâce à une vulnérabilité inconnue d'Apple achetée par le FBI à un tiers.
Plusieurs spécialistes notent que les récompenses offertes par Apple ne détourneront sans doute pas les black hat qui peuvent vendre leurs découvertes jusqu'à 1 million de dollars à des gouvernements ou des organisations criminelles.
Le chercheur Rich Mogull soulève par ailleurs deux autres problèmes potentiels des bugs bounty en général : un déluge de signalement de bugs mal renseignés et mal validés qui peut accaparer l'équipe technique, et des négociations financières qui peuvent être délicates. Toutefois, il est optimiste concernant le programme d'Apple.
Apple le fait à sa façon. Elle se concentre sur la qualité, pas la quantité. [...] Je pense que c'est un bon début. Apple n'avait pas besoin d'un [bug bounty], mais elle va certainement en tirer profit.
Source :
