Apple présente un programme de primes de bogues étendu qui couvre macOS, tvOS, watchOS et iCloud ainsi que les appareils iOS, a annoncé le responsable de l'ingénierie de la sécurité d'Apple, Ivan Krstić, cet après-midi lors de la conférence Black Hat à Las Vegas.
Apple a introduit son programme de primes de bogues pour les appareils iOS en août 2016, permettant aux chercheurs en sécurité qui localisent des bogues dans iOS de recevoir un paiement en espèces pour avoir divulgué la vulnérabilité à Apple. Auparavant, les appareils non iOS n'étaient pas inclus, une décision qui avait déjà été critiquée par la communauté de la sécurité.
L'absence d'Apple d'un programme de primes de bogues macOS a fait la une des journaux plus tôt cette année lorsqu'un adolescent allemand a initialement refusé de communiquer les détails d'une faille de sécurité majeure de macOS Keychain parce qu'Apple n'avait pas de paiement. Bien qu'il ait finalement fourni les informations à Apple, il a déclaré qu'il espérait que son refus inciterait Apple à étendre son programme de primes aux bogues, ce que la société a effectivement fait.
Avec le lancement du nouveau programme de primes de bogues macOS, Apple ouvre ses primes de bogues à tous les chercheurs plus tard cette année et augmente la taille maximale de la prime de 200 000 $ par exploit à 1 million de dollars selon la nature de la faille de sécurité. Une exécution du code du noyau sans clic avec persistance gagnera le montant maximum.
Les chercheurs qui découvrent des vulnérabilités dans des logiciels de pré-version avant la sortie générale peuvent bénéficier d'un bonus pouvant aller jusqu'à 50 pour cent en plus du montant de base de la prime de bogue.
Comme signalé plus tôt cette semaine , Apple prévoit également de fournir aux chercheurs en sécurité et aux pirates informatiques approuvés et fiables des iPhones « dev », c'est-à-dire des iPhones spéciaux qui offrent un accès plus approfondi au logiciel et au système d'exploitation sous-jacents, ce qui facilitera la découverte des vulnérabilités.
Apple fournit ces iPhones dans le cadre de son nouveau programme iOS Security Research Device, lancé l'année prochaine. L'objectif d'Apple avec ces nouveaux efforts de primes de bogues est d'encourager des chercheurs supplémentaires en sécurité à divulguer les vulnérabilités, conduisant finalement à des appareils plus sécurisés pour les consommateurs.
(Merci, SecuritySteve !)
Articles Populaires