Apple lance son premier “Bug Bounty” pour chasser les failles de sécurité
Alors Microsoft, Facebook et Google ont mis en
place un système de "bug bounty" ou programme de récompense de bug qui rémunère
chaque bug rapporté avec une certaine somme d’argent, Apple n’offrait jusqu’à
maintenant aucune récompense aux découvreurs de failles.
Mais cela va changer, car Ivan Krsti?, le responsable de l’équipe en charge
de la sécurité d’iOS chez Apple, a dévoilé à l’occasion d’une conférence Black
Hat à Las Vegas, un programme de récompense de bug sur invitation
seulement.
Ce dernier promet des récompenses allant de 25 000 $ à 200 000
$ des failles liées à iOS et iCloud, aux participants
de ce programme qui sera lancé en septembre.
Krsti? a listé cinq catégories de bugs et la plus haute
prime pour chacune :
- Secure boot firmware components ($200,000 cap)
- Extraction of confidential material protected by the Secure Enclave
Processor ($100,000 cap) - Execution of arbitrary code with kernel privileges ($50,000 cap)
- Unauthorized access to iCloud account data on Apple servers ($50,000
cap) - Access from a sandboxed process to user data outside of that sandbox
($25,000 cap)
Ce programme devrait aider à combler de "petites" failles, toutefois il se
peut que cela ne puisse pas convaincre les pirates de vendre les grosses
failles à Apple, en effet le prix des failles iOS sur le marché noir est assez
élevé (plus que les failles Windows, Google ou Facebook), car elles sont assez
rares.
En début d’année, le FBI avait payé un prix avoisinant 1,3 million de
dollars pour acheter une faille iOS auprès d’une société tierce et ainsi
pouvoir débloquer l’iPhone 5c appartenant au responsable de la tuerie de San
Bernardino en Californie.
Il s’agit d’une bonne initiative de la part d’Apple, car aucun système n’est
inviolable, et cela risque de compliquer les choses pour les développeurs qui
recherchent des moyens de jailbreak chaque version d’iOS.
Sandra.mcc
5 août 2016 à 13 h 39 min
Je ne m’y connais pas assez car je n’ai jamais codé (ce qui est dommage car
on devrait tous et toutes apprendre à coder dès le plus jeune âge)
Bref, pour celui ou celle qui touche un peu sa bille, pensez vous qu’un jour
on puisse inventer un code impénétrable ? Sans faille ? Aucune brèche de
sécurité ?
Un truc tout bonnement impossible à craquer ?
Ou rien est impossible ?
Pourquoi les codeurs ne testent pas ca des le départ ?
Bref.
Fred57 (posté avec l'app i-nfo.fr V2)
5 août 2016 à 14 h 24 min
Comme quoi! Le "ne dites jamais: Rivière je ne boirait jamais de ton eau"
est toujours d’actualité!
Justepourire (posté avec l'app i-nfo.fr V2)
5 août 2016 à 14 h 20 min
En informatique! La faille existera toujours! La preuve Apple crie
discrètement "au secours"! ? et ce sujet clouera le bec à certaines personnes
qui s’étaient prononcées sur ce site lors d’un sujet similaire! Elles avaient
soutenue que Apple n’avait pas besoin de passer par de telles pratiques car
leur système était à la pointe! ?
Kfff (posté avec l'app i-nfo.fr V2)
5 août 2016 à 15 h 12 min
Plus un systeme est fermé, moins il peut comporter de failles (a codage
egal, evidement…). A l’echelle d’un OS, ca parait difficile. Le fait de
permettre des mises a jour ou des installations sur un systeme est une breche,
qu’on blinde comme on peut, mais qui reste franchissable sinon elle ne sers a
rien.
Il est extrement difficile, voire meme impossible de tout tester, car les
systemes sont concus pour reagir a des evenements "asynchrones", c’est a dire
arrivant a n’importe quel moment. Tester tout revient a tester un evenement a
tous les moments possibles, et en combinaison avec tous les evenements
possible! Infaisable.
Les failles softs qui apparaissent aux nouveaux os sont souvent du genre
"faites ca puis tout de suite ca et appuyez la". C’est ce genre de failles
softs dont je parle ci dessus.
Verus35 (posté avec l'app i-nfo.fr V2)
5 août 2016 à 16 h 32 min
A la première lecture du barème de récompenses que le mieux rémunéré
concerne les failles de sécurité sur les données personnelles.
Bizarre de la part d’Apple de "tourner le dos" à son discours officiel de haute
priorité de sécurité des données pour le grand public…
Sauf à vouloir faire payer à sa place le FBI….?
Maay (posté avec l'app i-nfo.fr V2)
5 août 2016 à 18 h 01 min
Le meilleur moyen de savoir si un système est sécurisé, c’est de le
soumettre à des tests venant de personnes n’ayant pas développé le système.
Toute faille ainsi trouvée sera colmatée et rendra le système encore plus
secure. Mieux encore, faites dans l’open source. En gros : publiez le plan de
la prison et laissez les détenus montrer s’il y a encore des brèches à
colmater.
Darth Philou (posté avec l'app i-nfo.fr V2)
5 août 2016 à 19 h 40 min
Tous les tests du monde ne suffiraient pas à détecter toutes les failles et
le logiciel ne serait jamais oublié.
Il est impossible de démontrer toutes les "vérités" d’un système (théorème
d’incomplétude de Gödel).
L’ouverture du code est à double tranchant : si il est examiné par des
personnes honnêtes, vous êtes gagnants. Sinon, vous donnez les armes pour vous
battre Amos que c’est plus difficile si le code est fermé.