Apple récompense (enfin) la chasse aux bugs

Sur le web

Par Elodie le

La firme à la pomme récompense enfin la chasse aux bugs opérée par des white hat, comme elle en a fait l’annonce en marge de la conférence Black Hat qui se tient à Mandalay Bay, à Las Vegas, depuis le 30 juillet.

apple_faille_sécurité

Dernier village d’irréductibles technophiles à ne pas proposer de programme de récompense, communément appelé « bug bounty », pour les white hat qui signaleraient des failles de sécurité dans ses services, Apple a finalement consenti à récompenser cette chasse aux bugs.

Apple, rare firme high-tech à ne pas récompenser la chasse au bug

Elle a présenté ce nouveau programme lors de la Black Hat 2016. Programme qui prévoit des récompenses allant de 45 000 à 180 000 euros en fonction de l’importance de la vulnérabilité découverte. En 2015, Google a dépensé plus de 2 millions de dollars pour acheter des failles découvertes dans ses logiciels. Facebook, Microsoft, Yahoo ou encore Tesla, proposent déjà ce type de programme, et ce, depuis plusieurs années déjà.

Encore novice en la matière, Apple procède à tâtons sur les conseils d’autres entreprises dont la firme n’a rien dit. Ainsi, le programme qui débutera en septembre, fonctionnera sur invitation. Seule une douzaine de chercheurs rigoureusement sélectionnés pourront éprouver la sécurité des services et logiciels de Cupertino. 5 catégories de bug sont concernées, la plus lucrative étant celle relative au firmware « secure boot », qui empêche le lancement de programmes non autorisés lorsqu’un appareil iOS est mis sous tension.

apple_récompense_faille_sécurité

Des « chasseurs » triés sur le volet

Apple, dernière grande société à refuser tout marchandage concernant la sécurité de ses téléphones, se contentait jusqu’ici d’un remerciement et d’un nom accroché sur un obscur tableau d’honneur. Une politique qui a sans doute mené des hackers éthiques directement dans les bureaux d’agences gouvernementales, de réseaux criminels ou de grandes entreprises de sécurité informatique qui monnayent ensuite ces trouvailles.

On se rappelle qu’au moment du conflit l’opposant au FBI, cette coquetterie avait été avancée pour expliquer ses déboires. Plutôt que d’espérer que le FBI lui communique la faille débusqué par des hackers pour déverrouiller l’iPhone de San Bernardino, la firme aurait mieux fait de récompenser une telle trouvaille et aurait peut-être évité les ennuis judiciaires qui ont suivi avec le bureau d’investigation.

Apple semble avoir retenu la leçon. Mieux vaut tard que jamais.

Source: Source