Ouvrir le menu principal

MacGeneration

Recherche

Bug bounty : Apple va récompenser financièrement les découvertes de failles

Stéphane Moussie

vendredi 05 août 2016 à 10:36 • 33

AAPL

Apple n'a pas menti quand elle a déclaré qu'elle viendrait avec quelque chose d'inédit à la Black Hat 2016 : à la surprise de beaucoup, l'entreprise va lancer un bug bounty à l'automne.

Image Martin Cathrae CC BY-SA

Un bug bounty, qu'est-ce que c'est ? Rien à voir avec la barre chocolatée, puisqu'il s'agit d'un programme de récompense de découvertes de failles de sécurité. De nombreuses entreprises (Google, Facebook, Microsoft...) ont recours à cette opération pour renforcer la sécurité de leurs produits, mais Apple s'était tenue à l'écart jusqu'à maintenant.

La Pomme va faire les choses progressivement ; au départ, son bug bounty sera ouvert à seulement quelques dizaines de chercheurs avec lesquels elle a l'habitude de collaborer (mais si une personne extérieure venait à trouver une vulnérabilité, elle pourrait être incluse a posteriori). Le champ de recherche sera lui aussi restreint à quelques types de bugs d'iCloud et des terminaux iOS :

  • Composants firmware de la chaîne de démarrage sécurisé (secure boot) : jusqu'à 200 000 $ de récompense
  • Extraction de données confidentielles protégées par la Secure Enclave : jusqu'à 100 000 $
  • Exécution de code arbitraire avec des privilèges kernel : jusqu'à 50 000 $
  • Accès non autorisé à un compte iCloud sur les serveurs d'Apple : jusqu'à 50 000 $
  • Accès à partir d'un processus sandboxé à des données utilisateurs situées en dehors de la sandbox : jusqu'à 25 000 $

Les vulnérabilités doivent fonctionner sur la dernière version stable d'iOS et les derniers iPhone et iPad s'il s'agit d'un problème matériel — comme ce peut être le cas pour la Secure Enclave.

Les chercheurs s'engageront à ne pas dévoiler publiquement leurs trouvailles jusqu'à ce qu'Apple les corrige. De son côté, Cupertino fera son possible pour les corriger le plus rapidement possible, mais ne donnera pas d'échéance.

Comme d'autres bug bounty le proposent, Apple pourra verser la récompense directement à une œuvre de charité si un généreux chercheur en fait la demande. L'entreprise pourra aussi doubler la donation avec ses propres fonds, si elle le décide.

Pourquoi, au fait, Apple se met-elle à payer les personnes qui pointent du doigt les défauts de sécurité de ses produits ? Que ce soit en interne ou en externe, les failles sont maintenant plus difficiles à trouver, justifie-t-elle. Ces incitations financières sont un moyen d'encourager les spécialistes à examiner ses produits.

Il s'agit aussi d'une réponse au phénomène de ventes de failles à des entreprises tierces. L'iPhone 5c de San Bernardino a été déverrouillé grâce à une vulnérabilité inconnue d'Apple achetée par le FBI à un tiers.

Plusieurs spécialistes notent que les récompenses offertes par Apple ne détourneront sans doute pas les black hat qui peuvent vendre leurs découvertes jusqu'à 1 million de dollars à des gouvernements ou des organisations criminelles.

Le chercheur Rich Mogull soulève par ailleurs deux autres problèmes potentiels des bugs bounty en général : un déluge de signalement de bugs mal renseignés et mal validés qui peut accaparer l'équipe technique, et des négociations financières qui peuvent être délicates. Toutefois, il est optimiste concernant le programme d'Apple.

Apple le fait à sa façon. Elle se concentre sur la qualité, pas la quantité. [...] Je pense que c'est un bon début. Apple n'avait pas besoin d'un [bug bounty], mais elle va certainement en tirer profit.

Source :

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Netflix augmente ses prix en France sur fond de bons résultats

08:11

• 132


Les dernières publicités de Beats vantent avec humour les mérites des nouveaux câbles colorés de la marque

08:03

• 15


Incogni lance un plan Unlimited (et c’est une petite révolution dans la protection des données) 📍

17/04/2025 à 23:58

• 0


Tim Cook, plus que jamais dans les petits papiers de Donald Trump

17/04/2025 à 21:30

• 51


Guide d’achat : quel MacBook acheter en ce début 2025 ?

17/04/2025 à 20:30

• 8


Meta a réfléchi un temps à étendre l’option payante de Facebook aux USA

17/04/2025 à 20:15

• 6


Un SSD usé n'est pas une bonne solution pour préserver des données

17/04/2025 à 18:29

• 27


Promo : -280 € sur l'iMac M4 avec écran nano-texturé

17/04/2025 à 16:43

• 2


AmigaOS 3 continue à être mis à jour, près de 30 ans plus tard

17/04/2025 à 15:50

• 36


Promo : jusqu'à 10 % de remise sur les MacBook Pro et MacBook Air M4

17/04/2025 à 14:56

• 6


Voici le moyen le moins cher d’obtenir Microsoft Office à vie sur Mac en avril 📍

17/04/2025 à 13:14

• 0


Le Snapdragon X 2 Elite sur les rails, jusqu'à 22 % plus rapide

17/04/2025 à 12:00

• 5


Fitness+ : une salle de sport bretonne attaque Apple pour contrefaçon et concurrence déloyale

17/04/2025 à 11:57

• 42


Synology espère rendre ses propres disques durs obligatoires dans ses nouveaux NAS

17/04/2025 à 11:30

• 95


Orange ajuste la Série Spéciale Livebox Fibre : 30 € par mois et une Livebox 6

17/04/2025 à 11:10

• 22


L'industrie des semi-conducteurs paie les pots cassés de la politique de Trump

17/04/2025 à 10:09

• 44