Apple va récompenser les hackers qui trouveront des failles de sécurité

A l’instar de nombreux géants de l’informatique, Apple a décidé de lancer un programme de récompenses pour la découverte de failles de sécurité.

Apple a profité de la conférence sur la sécurité informatique Black Hat, à Las Vegas, pour annoncer son programme de récompenses pour signaler les bugs. La firme de Cupertino promet des récompenses allant de 25.000 à 200.000 dollars selon la gravité des failles de sécurité découvertes dans ses logiciels et produits.

Apple va offrir jusqu’à 200.000 dollars

Le concept n’est pas nouveau, de nombreux géants du web et de l’informatique ont recours à cette méthode pour découvrir des failles de sécurité avant qu’elles ne soient exploitées par des pirates ou revendues. Google, Facebook, Microsoft ou Dropbox utilisent notamment ce procédé et le navigateur Chrome fait régulièrement l’actualité pour le montant des récompenses attribuées lorsqu’une faille est découverte.

De son côté, Apple avait jusqu’ici toujours refusé de lancer son Bug Bounty mais la récente affaire qui a opposé l’entreprise américaine au FBI a probablement fait changer les choses. Sans l’aide d’Apple, le bureau fédéral était parvenu à déverrouiller l’iPhone de San Bernardino, un semi-revers pour Tim Cook qui a toujours refusé d’aider le FBI, préférant mettre en avant la sécurité d’iOS et la protection des données des utilisateurs.

De nombreuses entreprises ont recours aux « Bug Bounty »

Victime de son succès, Apple et son iPhone sont pourtant devenus des cibles privilégiées pour les hackers et ce programme pourrait permettre à la firme de renforcer la sécurité de ses différents systèmes. Dans un premier temps, Apple va ouvrir son Bug Bounty aux chercheurs en sécurité avec lesquels elle a l’habitude de travailler mais la firme n’exclut pas de récompenser toute personne susceptible de fournir des informations importantes. Selon TechCrunch, le programme devrait s’articuler autour de cinq thématiques :

• Vulnérabilité dans les composants du firmware Secure Boot : jusqu’à 200.000 dollars
• Vulnérabilité permettant l’extraction de données protégées par la Secure Enclave : jusqu’à 100.000 dollars
• Exécution de code arbitraire avec des privilèges kernel : jusqu’à 50.000 dollars
• Accès non autorisé à des données iCloud sur les serveurs d’Apple : jusqu’à 50.000 dollars
• Accès depuis un processus sandboxé à des données utilisateurs situées en dehors de la sandbox (bac à sable) : jusqu’à 25.000 dollars

A l’occasion de la sortie de son nouvel iPhone, Apple a décidé de sortir l’artillerie lourde en matière de sécurité pour contrer des menaces toujours plus complexes alors que les utilisateurs stockent de plus en plus de données sensibles ou confidentielles sur leur smartphone et dans le cloud.