top of page

Apple ouvre un programme public de bug bounty


Apple ouvre un programme public de bug bounty

Apple a officiellement ouvert son programme de bug bounty aujourd’hui à tous les chercheurs en sécurité, après avoir annoncé ses intentions plus tôt cette année en août lors de la conférence sur la sécurité de Black Hat à Las Vegas.

Jusqu’à aujourd’hui, Apple dirigeait un programme de bug bounty sur invitation uniquement pour certains chercheurs en sécurité et n’acceptait que les bugs de sécurité iOS.

À partir d’aujourd’hui, la société acceptera des rapports de vulnérabilité pour un éventail beaucoup plus large de produits, notamment iPadOS, macOS, tvOS, watchOS et iCloud.

En outre, la société a également augmenté sa récompense maximale, qui passe de 200 000 $ à 1 500 000 $, selon la complexité et la gravité de la chaîne d’exploitation.


publicité

Apple publie des règles officielles

Pour le rendre officiel, Apple a également publié aujourd’hui une nouvelle page sur son site Web détaillant les règles du programme, ainsi qu’un barème des récompenses que les chercheurs devraient gagner en fonction des exploits qu’ils soumettent.

Les règles sont assez strictes et placent la barre très haut pour gagner les meilleures récompenses. Pour être éligibles aux premiers prix et aux divers bonus, les chercheurs doivent soumettre des rapports clairs. Ceux-ci doivent inclure :

  1. Une description détaillée des problèmes signalés.

  2. Prérequis et étapes nécessaires pour que le système soit affecté.

  3. Une preuve de concept raisonnablement fiable pour le problème signalé.

  4. Suffisamment d’informations pour qu’Apple puisse reproduire raisonnablement le problème.

Les bugs de sécurité qui sont nouveaux, affectent plusieurs plates-formes, fonctionnent sur les derniers matériels et logiciels et les composants sensibles aux impacts donneront aux chercheurs une plus grande chance d’empocher la récompense de 1,5 million de dollars.

Les vulnérabilités trouvées dans les versions beta sont également très prisées. Apple explique qu’il ajoutera un bonus de 50% en plus de la récompense prévue pour tout bug signalé dans une version beta.

La raison pour laquelle les bugs dans les versions sont si prisés est que ces rapports permettent à Apple de corriger les principales failles de sécurité avant qu’elles n’atteignent les versions de production de son logiciel, où elles affecteront des milliards d’appareils.

Apple paiera également un bonus de 50% pour les bugs de régression. Ce sont des bugs qu’Apple avait précédemment corrigés dans les anciennes versions de son logiciel, mais ils ont été accidentellement réintroduits dans le code à un stade ultérieur.

Les vulnérabilités qui permettent des attaques zero-click ou one-click sont celles qui rapporteront le plus d’argent aux chercheurs; cependant, Apple exigera une chaîne d’exploitation complète pour ces types de soumissions.

Si l’une de ces attaques utilise trois bugs enchaînés, le chercheur devra soumettre une chaîne d’exploit complète qui incorpore les trois bugs, s’il veut gagner la récompense maximale.

“Comme certains l’ont noté, la barre est placée assez haut en termes de livrables”, a déclaré aujourd’hui à ZDNet Patrick Wardle, chercheur principal en sécurité chez Jamf et expert en sécurité d’Apple.

“L’un des plus grands défis d’un programme de bug bounty est de filtrer tous les rapports de qualité inférieure, et de déterminer ce qu’est un bug réel ou valide et l’impact que ce bug pourrait avoir”, a déclaré Wardle.

“Exiger un exploit oblige donc le chercheur à faire un effort supplémentaire, mais cela aidera également Apple à comprendre rapidement et pleinement quels bugs doivent être priorisés et donc corrigés (en premier).”

Ci-dessous, la vidéo d’Ivan Krstić, responsable de la sécurité d’Apple, annonçant le programme public de bug bounty d’Apple à Black Hat cet été (à 38 h 05). Les fichiers de présentation de Krstić sont disponibles en téléchargement ici. Sous la vidéo, un barème des paiements qu’Apple est prêt à fournir aux chercheurs en sécurité [source].


Source : ZDNet.com

0 vue0 commentaire

Comments


bottom of page