Apple lance un programme pour récompenser les chasseurs de failles

Par

le

Apple va lancer un nouveau programme pour récompenser les chasseurs de failles, avec des gains pouvant atteindre les 200.000 dollars.

Un certain nombre de grandes compagnies technologiques ont mis en place des programmes pour récompenser les chasseurs de failles au cours des dernières années. Pourtant, jusqu’à présent, Apple a toujours refusé de payer des tiers pour signaler des vulnérabilités. Mais cela va changer d’ici quelques semaines.

Lors de la conférence Black Hat, Ivan Krstic, responsable de l’ingénierie sécurité et de l’architecture chez Apple, a déclaré que la firme de Cupertino va commencer à récompenser les « chasseurs » avec des primes allant de 20.000 à 200.000 dollars pour les failles de sécurité trouvées dans les produits d’Apple.

Pour se démarquer de la plupart des programmes de récompenses, Apple encourage ceux qui reçoivent les primes à en faire don à des associations caritatives. Si l’établissement sélectionné est approuvé par la marque à la pomme, elle versera une somme équivalente au don.

Le programme, qui sera lancé en septembre, sera accessible sur invitation seulement et se composera d’une dizaine de chercheurs en sécurité ayant déjà découvert d’importantes vulnérabilités pour l’entreprise. D’après TechCrunch, si l’entreprise avait décidé d’ouvrir le programme au public, cela aurait pu apporter un grand nombre de faux rapports qui peuvent éclipser certains des bugs présentant des risques plus élevés. Cependant, Apple envisagerait d’étendre le programme au fil du temps et de l’ouvrir à d’autres personnes qui trouvent des problèmes de sécurité importants.

Apple limite son programme à cinq domaines de vulnérabilité: la récompense la plus élevée est pour la découverte de bugs dans les composants sécurisés du firmware de démarrage. Les chercheurs qui trouvent des exploits permettant d’extraire des éléments confidentiels du Secure Enclave recevront jusqu’à 100.000 dollars; les exécutions de code arbitraire valent jusqu’à 50 000 $, comme l’accès à des données de comptes iCloud; et les vulnérabilités qui permettent de sortir d’une sandbox pour s’introduire dans les données utilisateur seront récompensées jusqu’à 25.000 dollars.

Alors qu’Apple explique lancer ce programme tout simplement parce que les bugs sont de plus en plus difficiles à trouver, l’affaire de l’iPhone de San Bernardino plus tôt cette année est susceptible d’avoir joué beaucoup dans la décision. Après que l’entreprise a refusé d’aider le FBI à déverrouiller le dispositif qui appartenait à l’un des deux auteurs de l’attaque de San Bernardino, Syed Rizwan Farook, l’agence gouvernementale aurait payé des hackers pour déverrouiller l’iPhone.


Articles recommandés