Apple lance son premier « bug bounty » en toute modération

Mieux vaut tard que jamais ?

C’est le sentiment qui dominait ce jeudi à la conférence Black Hat de Las Vegas après l’annonce d’Apple : la firme lance à son tour un « bug bounty », programme dans le cadre duquel elle récompensera les chercheurs qui auront trouvé des failles de sécurité dans ses produits.

Rendez-vous est pris pour le mois de septembre, dans un premier temps en cercle restreint. En l’occurrence, sur invitation, avec quelques dizaines de places pour les chercheurs qui entretiennent déjà des relations avec Apple.

La multinationale ne souhaite pas ouvrir complètement les vannes*, de peur que les soumissions de bugs affluent et que les contributions les plus importantes soient noyées dans la masse.

Jusqu’alors, Apple s’appuyait sur les travaux de ses équipes en interne, ainsi que sur des relations informelles avec les chercheurs. Ces dernières années, l’approche a évolué, le groupe américain reconnaissant ne plus pouvoir se passer des services de la communauté, à l’heure où « trouver les failles critiques est de plus en plus difficile ».

Dans les entrailles d’iOS

Plusieurs conditions sous-tendent le « bug bounty » qui sera lancé en septembre. En premier lieu, les vulnérabilités devront toucher la dernière version d’iOS et/ou la dernière génération des terminaux mobiles Apple (iPhone, iPad).

Quiconque mettra le doigt sur une brèche permettant d’accéder à des données depuis un processus censé être isolé dans un bac à sable (sandbox) pourra prétendre à une récompense allant jusqu’à 25 000 dollars.

On montera à 50 000 dollars pour l’accès à des données associées à des comptes iCloud sur les serveurs d’Apple, ainsi que pour l’exécution de code arbitraire sur iOS avec le niveau maximal de privilèges (kernel).

L’extraction de données en théorie protégées par le coprocesseur Secure Enclave – censé assurer toutes les opérations cryptographiques pour la gestion des clés et garantir, entre autres, un démarrage sécurisé en vérifiant la signature du logiciel système – pourra donner lieu au versement de 100 000 dollars.

Bienvenue au club

La mise maximale de 200 000 dollars sera réservée aux chercheurs qui dénicheront des failles dans la chaîne du « Secure Boot », dont les différents maillons, de la ROM contenant la clé publique d’Apple au noyau iOS, sont vérifiés les uns les autres avant le démarrage de l’appareil.

Sur le terrain des « bug bountys », Apple rejoint Facebook, qui a remis, l’année passée, 100 000 dollars à des chercheurs planchant sur une série de vulnérabilités C++. Mais aussi Google, qui a déboursé plus de 2 millions de dollars en 2015 dans ses programmes de chasse aux bugs. Ou encore Dropbox, entré dans la danse en association avec HackerOne.

On notera que l’Europe a lancé, en début d’année, une initiative dans la même veine, avec la Bounty Factory, plate-forme de recherche de vulnérabilités qui associe hackers et entreprises. Un projet porté par deux Français : le blogueur Korben et le RSSI de Qwant, Guillaume Vassault-Houlière.

* Selon TechCrunch, si Apple s’est longtemps refusé à organiser un « bug bounty », c’est aussi parce que la firme estimait que les hackers préféreraient toujours se tourner vers le gouvernements et le marché noir, plus lucratifs.

Crédit photo : Andrea Danti – Shutterstock.com