Apple va lancer son premier programme de chasse aux bogues en septembre,
Avec une rémunération de 200 000 $ pour les failles critiques
Le 2016-08-05 20:11:39, par Miary, Expert éminent
Depuis plusieurs années, de nombreux géants de l’informatique ont mis en place leur programme de chasse aux bogues. Il consiste à rémunérer les personnes qui ont découvert des vulnérabilités et des failles sur des logiciels ou des infrastructures. Le lancement d’un programme de chasse aux bogues permet d’avoir connaissance des bogues bien avant le grand public et de les corriger le plus tôt possible. Après des années de réticence, Apple a finalement emboîté le pas à Facebook, à Microsoft ou encore à Google et annonce son premier programme de chasse aux bogues.
Lors de la conférence sur la sécurité informatique Black Hat, Apple a annoncé que quelques chercheurs en sécurité informatique seront recrutés au mois de septembre afin de retrouver les failles et les vulnérabilités sur les produits d’Apple. Selon Ivan Krstic, le chef de la sécurité d’Apple, il est de plus en plus difficile de détecter les failles les plus sensibles. C’est pour cette raison que la firme de Cupertino a finalement décidé de récompenser les experts qui découvrent des vulnérabilités sur ses produits.
Les chercheurs qui pourront participer au premier programme de chasse aux bogues seront désignés par Apple et le champ de recherche est restreint à quelques catégories. Pour pouvoir toucher une récompense, il faut que la vulnérabilité fonctionne sur la dernière version stable du système d’exploitation iOS ou sur la dernière version d’iPhone ou d’iPad, dans le cas d’un problème matériel. Par ailleurs, les experts s’engagent à ne pas révéler au grand public les failles qu’ils ont trouvées tant qu’Apple ne les a pas corrigées.
Si la faille est découverte au niveau de la chaine de démarrage sécurisée ou Secure boot, le chercheur peut toucher jusqu’à 200 000 $. Si la vulnérabilité est détectée au niveau du coprocesseur Secure Enclave, la récompense peut aller jusqu’à 100 000 $. Pour information, ce coprocesseur assure toutes les opérations cryptographiques qui servent à gérer les clés de protection des données. Pour des failles concernant l’accès non autorisé à un compte iCloud sur les serveurs d’Apple, la récompense pourra aller jusqu’à 50 000 $.
Les programmes de chasse aux bogues se multiplient actuellement. Ils ont permis de corriger les failles et d’améliorer les fonctionnalités d’un produit. En récompensant les chercheurs qui trouveraient des vulnérabilités sur ses produits, il semble qu’Apple souhaite éviter que des hackers puissent les vendre à des entreprises tierces. Ce fut le cas notamment avec l’affaire de San Bernardino. Pour rappel, après qu’Apple a refusé de collaborer avec le FBI, celui-ci a eu recours au service d’un hacker pour déverrouiller l’iPhone 5C du tueur présumé, moyennant la somme d’un million de dollars.
Source : WSJ, The New York Times
Et vous ?
Voir aussi :
Lors de la conférence sur la sécurité informatique Black Hat, Apple a annoncé que quelques chercheurs en sécurité informatique seront recrutés au mois de septembre afin de retrouver les failles et les vulnérabilités sur les produits d’Apple. Selon Ivan Krstic, le chef de la sécurité d’Apple, il est de plus en plus difficile de détecter les failles les plus sensibles. C’est pour cette raison que la firme de Cupertino a finalement décidé de récompenser les experts qui découvrent des vulnérabilités sur ses produits.
Les chercheurs qui pourront participer au premier programme de chasse aux bogues seront désignés par Apple et le champ de recherche est restreint à quelques catégories. Pour pouvoir toucher une récompense, il faut que la vulnérabilité fonctionne sur la dernière version stable du système d’exploitation iOS ou sur la dernière version d’iPhone ou d’iPad, dans le cas d’un problème matériel. Par ailleurs, les experts s’engagent à ne pas révéler au grand public les failles qu’ils ont trouvées tant qu’Apple ne les a pas corrigées.
Si la faille est découverte au niveau de la chaine de démarrage sécurisée ou Secure boot, le chercheur peut toucher jusqu’à 200 000 $. Si la vulnérabilité est détectée au niveau du coprocesseur Secure Enclave, la récompense peut aller jusqu’à 100 000 $. Pour information, ce coprocesseur assure toutes les opérations cryptographiques qui servent à gérer les clés de protection des données. Pour des failles concernant l’accès non autorisé à un compte iCloud sur les serveurs d’Apple, la récompense pourra aller jusqu’à 50 000 $.
Les programmes de chasse aux bogues se multiplient actuellement. Ils ont permis de corriger les failles et d’améliorer les fonctionnalités d’un produit. En récompensant les chercheurs qui trouveraient des vulnérabilités sur ses produits, il semble qu’Apple souhaite éviter que des hackers puissent les vendre à des entreprises tierces. Ce fut le cas notamment avec l’affaire de San Bernardino. Pour rappel, après qu’Apple a refusé de collaborer avec le FBI, celui-ci a eu recours au service d’un hacker pour déverrouiller l’iPhone 5C du tueur présumé, moyennant la somme d’un million de dollars.
Source : WSJ, The New York Times
Et vous ?
Voir aussi :
-
23JFKMembre expertLes récompenses me semblent ridicules au regard des enjeux et du niveau d'expertise requis.le 05/08/2016 à 22:28
-
derderderMembre avertiAu contraire, je trouve les sommes bien plus importantes par rapport à google par exemple:https://www.google.com/about/appsecu...eward-program/
Dans tous les cas, c'est toujours mieux que de porter plainte comme avantle 06/08/2016 à 8:47 -
SteelWiWiNouveau membre du Club
Pas du tout, même si les enjeux sont grands et même si le niveau d'expertise requis est élevé, c'est très généreusement récompensé.le 06/08/2016 à 12:17 -
23JFKMembre expert
Le FBI semble avoir déboursé autour du million de bucks pour une faille du secure boot alors deux cent mille bucks pour des experts indépendants ne me semble pas être le prix du marché. Surtout si les experts sont tenus à la confidentialité ce qui ne va pas les aider à se faire une réputation.le 06/08/2016 à 18:34