Suivez-nous

Apple

Apple lance son premier « Bug Bounty » pour chasser les failles de sécurité

Il y a

le

ios-9-securite.jpgAlors Microsoft, Facebook et Google ont mis en
place un système de "bug bounty" ou programme de récompense de bug qui rémunère
chaque bug rapporté avec une certaine somme d’argent, Apple n’offrait jusqu’à
maintenant aucune récompense aux découvreurs de failles.

Mais cela va changer, car Ivan Krstić, le responsable de l’équipe en charge
de la sécurité d’iOS chez Apple, a dévoilé à l’occasion d’une conférence Black
Hat à Las Vegas, un programme de récompense de bug sur invitation
seulement
.

Ce dernier promet des récompenses allant de 25 000 $ à 200 000
$
des failles liées à iOS et iCloud, aux participants
de ce programme qui sera lancé en septembre.

Krstić a listé cinq catégories de bugs et la plus haute
prime pour chacune :

  • Secure boot firmware components ($200,000 cap)
  • Extraction of confidential material protected by the Secure Enclave
    Processor ($100,000 cap)
  • Execution of arbitrary code with kernel privileges ($50,000 cap)
  • Unauthorized access to iCloud account data on Apple servers ($50,000
    cap)
  • Access from a sandboxed process to user data outside of that sandbox
    ($25,000 cap)

Ce programme devrait aider à combler de "petites" failles, toutefois il se
peut que cela ne puisse pas convaincre les pirates de vendre les grosses
failles à Apple, en effet le prix des failles iOS sur le marché noir est assez
élevé (plus que les failles Windows, Google ou Facebook), car elles sont assez
rares.

En début d’année, le FBI avait payé un prix avoisinant 1,3 million de
dollars pour acheter une faille iOS auprès d’une société tierce et ainsi
pouvoir débloquer l’iPhone 5c appartenant au responsable de la tuerie de San
Bernardino en Californie.

Il s’agit d’une bonne initiative de la part d’Apple, car aucun système n’est
inviolable, et cela risque de compliquer les choses pour les développeurs qui
recherchent des moyens de jailbreak chaque version d’iOS.


Source

Vous aimez ? Partagez !

7 Commentaires

7 Commentaires

  1. Sandra.mcc

    5 août 2016 à 13 h 39 min

    Je ne m’y connais pas assez car je n’ai jamais codé (ce qui est dommage car
    on devrait tous et toutes apprendre à coder dès le plus jeune âge)

    Bref, pour celui ou celle qui touche un peu sa bille, pensez vous qu’un jour
    on puisse inventer un code impénétrable ? Sans faille ? Aucune brèche de
    sécurité ?

    Un truc tout bonnement impossible à craquer ?

    Ou rien est impossible ?

    Pourquoi les codeurs ne testent pas ca des le départ ?

    Bref.

  2. Fred57 (posté avec l'app i-nfo.fr V2)

    5 août 2016 à 14 h 24 min

    Comme quoi! Le "ne dites jamais: Rivière je ne boirait jamais de ton eau"
    est toujours d’actualité!

  3. Justepourire (posté avec l'app i-nfo.fr V2)

    5 août 2016 à 14 h 20 min

    En informatique! La faille existera toujours! La preuve Apple crie
    discrètement "au secours"! 😂 et ce sujet clouera le bec à certaines personnes
    qui s’étaient prononcées sur ce site lors d’un sujet similaire! Elles avaient
    soutenue que Apple n’avait pas besoin de passer par de telles pratiques car
    leur système était à la pointe! 😂

  4. Kfff (posté avec l'app i-nfo.fr V2)

    5 août 2016 à 15 h 12 min

    Plus un systeme est fermé, moins il peut comporter de failles (a codage
    egal, evidement…). A l’echelle d’un OS, ca parait difficile. Le fait de
    permettre des mises a jour ou des installations sur un systeme est une breche,
    qu’on blinde comme on peut, mais qui reste franchissable sinon elle ne sers a
    rien.
    Il est extrement difficile, voire meme impossible de tout tester, car les
    systemes sont concus pour reagir a des evenements "asynchrones", c’est a dire
    arrivant a n’importe quel moment. Tester tout revient a tester un evenement a
    tous les moments possibles, et en combinaison avec tous les evenements
    possible! Infaisable.
    Les failles softs qui apparaissent aux nouveaux os sont souvent du genre
    "faites ca puis tout de suite ca et appuyez la". C’est ce genre de failles
    softs dont je parle ci dessus.

  5. Verus35 (posté avec l'app i-nfo.fr V2)

    5 août 2016 à 16 h 32 min

    A la première lecture du barème de récompenses que le mieux rémunéré
    concerne les failles de sécurité sur les données personnelles.
    Bizarre de la part d’Apple de "tourner le dos" à son discours officiel de haute
    priorité de sécurité des données pour le grand public…
    Sauf à vouloir faire payer à sa place le FBI….😁

  6. Maay (posté avec l'app i-nfo.fr V2)

    5 août 2016 à 18 h 01 min

    Le meilleur moyen de savoir si un système est sécurisé, c’est de le
    soumettre à des tests venant de personnes n’ayant pas développé le système.
    Toute faille ainsi trouvée sera colmatée et rendra le système encore plus
    secure. Mieux encore, faites dans l’open source. En gros : publiez le plan de
    la prison et laissez les détenus montrer s’il y a encore des brèches à
    colmater.

  7. Darth Philou (posté avec l'app i-nfo.fr V2)

    5 août 2016 à 19 h 40 min

    Tous les tests du monde ne suffiraient pas à détecter toutes les failles et
    le logiciel ne serait jamais oublié.
    Il est impossible de démontrer toutes les "vérités" d’un système (théorème
    d’incomplétude de Gödel).

    L’ouverture du code est à double tranchant : si il est examiné par des
    personnes honnêtes, vous êtes gagnants. Sinon, vous donnez les armes pour vous
    battre Amos que c’est plus difficile si le code est fermé.

Laisser un commentaire

Ajouter un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Dernières news

Les bons plans

Notre dev présente

LillyPlayer