Apple accepte enfin de récompenser les chasseurs de bugs

Apple

S’étant jusque-là illustrés par une véritable réticence à rémunérer ceux qui pouvaient contribuer à la sécurité de ses produits en découvrant des vulnérabilités, Apple a semble-t-il changé de politique. C’est du moins ce qui ressort du Black Hat qui s’est tenu du 30 juillet au 4 août à Las Vegas.

Apple entend collaborer avec les chercheurs en sécurité … de son choix

Après avoir longtemps fermé la porte aux chasseurs de bugs, Apple a décidé de revoir sa copie. C’est ainsi que la célèbre marque à la pomme a annoncé la mise en place d’un programme de bug bounty qui devrait débuter en septembre.

Toutefois, probablement parce qu’elle a encore quelques réserves et doutes sur les chasseurs de bugs, elle a choisi de réserver la participation à ce programme à des chercheurs invités. Autrement dit, celle qui rendit célèbre Steve Jobs se réserve le droit de sélectionner ceux qui pourront collaborer avec elle-même si d’éventuels « découvreurs » de bugs pourront aussi intégrer le précieux cercle des sélectionnés.

La volonté de ne pas ouvrir le programme au grand public est aussi lié au fait que la marque américaine entend privilégier la qualité du travail à la quantité, une motivation qui se retrouve aussi dans la rémunération des chercheurs de bugs.

La qualité avant la quantité pour le programme bug bounty Apple

Avec son programme de recherche de bugs, la marque à la pomme entend découvrir des bugs facilement exploitables par les pirates dans le système iOS. D’ailleurs, les bugs identifiés devront faire l’objet d’une preuve d’exploitation afin de montrer les conséquences qu’ils pourraient avoir.

Sur la base de la criticité des vulnérabilités découvertes, Apple rémunèrera ainsi les chercheurs de bug jusqu’à 200 000 dollars s’ils découvrent une faille dans la sécurité du firmware de démarrage. La rémunération pourra atteindre 100 000 dollars pour une vulnérabilité observée qui permettrait d’extraire simplement des données de la puce en charge du chiffrement de l’iPhone.

Quant aux failles permettant d’accéder à iCloud sans autorisation ou bien aux données utilisateur, les chercheurs pourront bénéficier d’un bonus allant de 25 000 à 50 000 dollars en les découvrant. Notez aussi que tous les bonus seront doublés si les experts en sécurité acceptent que l’argent soit reversé à une association.

S’il aura fallu attendre relativement longtemps pour voir Apple lancer son premier programme de bug bounty, force est de constater que les bonus sont à la hauteur de ce que l’on est en mesure d’attendre d’un géant de la high-tech.

 

No votes yet.
Please wait...

Be the first to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*


Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.