Apple Apple lance le programme Bug Bounty au Black Hat USA 2016

Apple a enfin un programme de prime aux bogues.

Le responsable de l’ingénierie et de l’architecture de la sécurité de la société, Ivan Krstic, a annoncé le programme sur invitation uniquement lors d’une rare apparition publique à la convention Black Hat USA 2016 sur les hackers à Las Vegas le soir du 4 août.

Krstic, dont l’équipe est responsable de la sécurité de bout en bout de tous les produits Apple, a annoncé que la société paierait jusqu’à 200 000 dollars pour les bugs identifiés lors de sa présentation de jeudi intitulée "Dans les coulisses de la sécurité iOS."

La compensation dépend du piratage: accéder aux données d'applications en mode bac à sable vaut jusqu'à 25 000 $, alors que compromettre les composants du microprogramme d'amorçage sécurisé peut rapporter un maximum de 200 000 $.

Récompenser les pirates pour leur avoir révélé des vulnérabilités de sécurité au lieu de les exploiter secrètement est devenu de plus en plus courant - tout le monde, d’Uber au Pentagone, le fait.

Le fait qu'Apple ne se fie plus à la bonne volonté des chercheurs pour offrir une récompense en cas de révélation d'un bug est probablement motivé par le piratage d'un iPhone 5c connecté au tournage de San Bernardino en 2015. Le public sait peu de choses sur le piratage et sait s'il pourrait encore servir dans un iPhone.

Robert McCarthy, participant au Black Hat, a tweeté:

Public: "Dans quelle mesure le FBI a-t-il influencé votre position?"

Ivan Krstic: “Je suis un ingénieur ici pour répondre à des questions techniques”

Même le FBI, qui a payé un tiers encore inconnu pour pirater l’iPhone lorsque Apple a refusé de l’aider dans cette affaire, ne sait pas comment l’appareil a été compromis. Il se peut qu’il ne sache même pas combien le piratage a réellement coûté, alors que le directeur du FBI, James Comey, prétendait qu’il avait coûté environ 1,3 million de dollars.

Cette ambiguïté est encore plus préoccupante car le FBI n’a rien trouvé sur l’appareil. Cela signifie que l’un des plus importants organismes d’application de la loi dans le monde a donné une somme inconnue à une entreprise inconnue pour effectuer un piratage inconnu - prouvant ainsi que cela était possible et que tout le monde avec un iPhone 5c est en danger - sans rien obtenir en retour.

Un programme de prime aux bogues pourrait permettre à Apple d’éliminer certaines de ces variables et de rendre ses produits plus sûrs. Pourtant, il est étrange que le programme commence avec quelques dizaines de chercheurs et ne se développe que sur invitation. L’intérêt d’un programme de tarification des bogues est généralement d’amener le plus grand nombre de personnes possible à explorer diverses fonctions de sécurité pour voir ce qu’elles sont en mesure de contourner.

Apple aurait l'intention d'inviter plus de gens au programme au fil du temps et d'inviter toute personne signalant une vulnérabilité grave via d'autres canaux, mais pour le moment, il semble qu'Apple ne fait que plonger ses pieds dans le panier de primes. C’est la caractéristique de la société, qui est souvent prudente, mais qui découragera probablement tous ceux qui souhaitent se disputer les récompenses dès que possible.

Pourtant, c’est un progrès indéniable pour Apple. De même que Krstic a participé à un événement comme Black Hat USA en premier lieu. Combiné à d'autres modifications, comme la décision de ne pas chiffrer le noyau iOS 10, il semble que l'héritage de l'épisode San Bernardino pourrait être une pomme prête à sortir de l'ombre pour garder les nombreuses personnes qui utilisent ses produits un peu plus en sécurité..