En 2016, Apple mettait en place un « bug bounty », c’est à dire un programme visant à récompenser les chercheurs en sécurité qui trouvent des failles dans ses logiciels. Cette initiative n’a cependant pas trouvé un très grand écho auprès de la communauté : non seulement elle se limitait à une poignée de spécialistes triés sur le volet, mais surtout les récompenses n’étaient pas très élevées.
Marché noir de la vulnérabilité
Il faut savoir qu’il existe un véritable « marché noir du bug ». Plusieurs entreprises travaillant pour des agences gouvernementales sont prêtes à acheter très cher des vulnérabilités dans iOS pour récupérer des données provenant d’iPhone. Le tout sans qu’Apple puisse corriger la faille, puisque le constructeur ne connait rien de la faille.
C’est pourquoi le créateur de l’iPhone a finalement décidé de se montrer plus généreux, comme il l’a annoncé durant une conférence Black Hat cette semaine. Alors qu’une faille pouvait rapporter jusqu’à 200.000 $, le « bug bounty » peut désormais offrir 1 million de dollars pour les vulnérabilités les plus sérieuses, celles qui permettent par exemple de hacker le noyau d’iOS sans que l’utilisateur soit impliqué.
Apple ne s’arrête pas en si bon chemin. Un des reproches souvent entendus concernant ce programme de chasse aux bugs était qu’il se limitait à iOS. Ce n’est maintenant plus le cas : il récompensera les découvertes de failles sur toutes les plateformes d’Apple, y compris macOS et watchOS. Le support de macOS en particulier était très attendu par bon nombre de chercheurs en sécurité.
Enfin, à partir de l’année prochaine, Apple fournira des iPhone aux protections limitées. Les chercheurs — qui devront faire la preuve de leur savoir faire pour récupérer un de ces modèles très spéciaux — pourront ainsi plus facilement découvrir des vulnérabilités au plus proche du noyau.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.