Apple va rémunérer la découverte de failles dans ses produits

C’était une première : Apple a fait le déplacement jusqu’à Las Vegas pour animer, à la conférence Black Hat, un atelier détaillant en profondeur les dispositifs de sécurité intégrés à iOS 10. A la barre, Ivan Krstic, responsable de l’architecture et de l’ingénierie sécurité au sein du groupe. Il pilote donc la conception et l’implémentation des mécanismes de protection des produits d’Apple.

Son intervention a été l’occasion d’une surprise d’importance : l’annonce d’un programme de rétribution des hackers découvrant des failles de sécurité dans les produits de la firme à la pomme. Un revirement inattendu alors que le groupe s’était bien privé jusqu’ici de tout programme de bug bounty, se contentant de profiter indirectement des découvertes des spécialistes du jailbreak.

Yes!!! #Apple via @radian announces bug bounty program at #BHUSA! #infosec #blackhat #bugbounty :) :) pic.twitter.com/OJVZlKPc5s

— Meredith Corley (@MeredithCorley) August 4, 2016

Apple va proposer des rétributions de 25 000 $ à 200 000 $, pour des vulnérabilités allant de l’évasion de bac à sable jusqu’à des failles dans les composants de boot sécurisé du firmware, en passant par l’extraction de contenus protégés par le processeur d’enclave sécurisée ou encore l’exécution de code arbitraire avec le niveau de privilèges du noyau du système d’exploitation. La liste des vulnérabilités éligibles est susceptible de s’étendre au fil du temps.

Enfin, Ivan Krstic a indiqué qu’Apple doublerait la prime dans le cas où l’expert à l’origine de la découverte déciderait de verser les fonds à un organisme caritatif.