IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Apple va lancer son premier programme de chasse aux bogues en septembre,
Avec une rémunération de 200 000 $ pour les failles critiques

Le , par Miary

0PARTAGES

5  0 
Depuis plusieurs années, de nombreux géants de l’informatique ont mis en place leur programme de chasse aux bogues. Il consiste à rémunérer les personnes qui ont découvert des vulnérabilités et des failles sur des logiciels ou des infrastructures. Le lancement d’un programme de chasse aux bogues permet d’avoir connaissance des bogues bien avant le grand public et de les corriger le plus tôt possible. Après des années de réticence, Apple a finalement emboîté le pas à Facebook, à Microsoft ou encore à Google et annonce son premier programme de chasse aux bogues.

Lors de la conférence sur la sécurité informatique Black Hat, Apple a annoncé que quelques chercheurs en sécurité informatique seront recrutés au mois de septembre afin de retrouver les failles et les vulnérabilités sur les produits d’Apple. Selon Ivan Krstic, le chef de la sécurité d’Apple, il est de plus en plus difficile de détecter les failles les plus sensibles. C’est pour cette raison que la firme de Cupertino a finalement décidé de récompenser les experts qui découvrent des vulnérabilités sur ses produits.

Les chercheurs qui pourront participer au premier programme de chasse aux bogues seront désignés par Apple et le champ de recherche est restreint à quelques catégories. Pour pouvoir toucher une récompense, il faut que la vulnérabilité fonctionne sur la dernière version stable du système d’exploitation iOS ou sur la dernière version d’iPhone ou d’iPad, dans le cas d’un problème matériel. Par ailleurs, les experts s’engagent à ne pas révéler au grand public les failles qu’ils ont trouvées tant qu’Apple ne les a pas corrigées.

Si la faille est découverte au niveau de la chaine de démarrage sécurisée ou Secure boot, le chercheur peut toucher jusqu’à 200 000 $. Si la vulnérabilité est détectée au niveau du coprocesseur Secure Enclave, la récompense peut aller jusqu’à 100 000 $. Pour information, ce coprocesseur assure toutes les opérations cryptographiques qui servent à gérer les clés de protection des données. Pour des failles concernant l’accès non autorisé à un compte iCloud sur les serveurs d’Apple, la récompense pourra aller jusqu’à 50 000 $.

Les programmes de chasse aux bogues se multiplient actuellement. Ils ont permis de corriger les failles et d’améliorer les fonctionnalités d’un produit. En récompensant les chercheurs qui trouveraient des vulnérabilités sur ses produits, il semble qu’Apple souhaite éviter que des hackers puissent les vendre à des entreprises tierces. Ce fut le cas notamment avec l’affaire de San Bernardino. Pour rappel, après qu’Apple a refusé de collaborer avec le FBI, celui-ci a eu recours au service d’un hacker pour déverrouiller l’iPhone 5C du tueur présumé, moyennant la somme d’un million de dollars.

Source : WSJ, The New York Times

Et vous ?

Qu’en pensez-vous ?

Aimerez-vous participer à un programme de chasse aux bogues chez Apple ?

Voir aussi :

Apple a sa propre vulnérabilité Stagefright : l'entreprise colmate cinq failles de sécurité qui permettent d'amorcer une attaque via un simple MMS

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de 23JFK
Membre expert https://www.developpez.com
Le 05/08/2016 à 22:28
Les récompenses me semblent ridicules au regard des enjeux et du niveau d'expertise requis.
0  0 
Avatar de derderder
Membre averti https://www.developpez.com
Le 06/08/2016 à 8:47
Citation Envoyé par 23JFK Voir le message
Les récompenses me semblent ridicules au regard des enjeux et du niveau d'expertise requis.
Au contraire, je trouve les sommes bien plus importantes par rapport à google par exemple:https://www.google.com/about/appsecu...eward-program/

Dans tous les cas, c'est toujours mieux que de porter plainte comme avant
0  0 
Avatar de SteelWiWi
Nouveau membre du Club https://www.developpez.com
Le 06/08/2016 à 12:17
Citation Envoyé par 23JFK Voir le message
Les récompenses me semblent ridicules au regard des enjeux et du niveau d'expertise requis.

Pas du tout, même si les enjeux sont grands et même si le niveau d'expertise requis est élevé, c'est très généreusement récompensé.
0  0 
Avatar de 23JFK
Membre expert https://www.developpez.com
Le 06/08/2016 à 18:34
Citation Envoyé par SteelWiWi Voir le message
Pas du tout, même si les enjeux sont grands et même si le niveau d'expertise requis est élevé, c'est très généreusement récompensé.

Le FBI semble avoir déboursé autour du million de bucks pour une faille du secure boot alors deux cent mille bucks pour des experts indépendants ne me semble pas être le prix du marché. Surtout si les experts sont tenus à la confidentialité ce qui ne va pas les aider à se faire une réputation.
0  0