Une annonce faite lors du Black Hat
Apple a augmenté massivement la somme qu’elle versera aux hackers qui trouveront des vulnérabilités dans ses iPhones : 1 million de dollars dans le meilleur de cas. C’est, de loin, la plus haute prime au bug (en anglais, “bug bounty”) offerte de la part de n’importe quel acteur majeur de la tech.
Publicité
En plus d’augmenter la prime de 200 000 $ par rapport aux récompenses antérieures, cet appel au hacking est ouvert à tous. Jusqu’à cette annonce, seuls des guests triés sur le volet pouvaient participer.
Publicité
Comme le magazine Forbes l’a confirmé mercredi dernier, Apple promet aussi une récompense pour tout bug trouvé dans ses Mac ou encore ses Apple TV. L’annonce a été faite à Las Vegas lors de la conférence Black Hat, dans le cadre d’un discours tenu par le responsable de l’ingénierie de sécurité chez Apple, Ivan Krstić.
Forbes a aussi révélé qu’Apple pourrait donner aux participants sérieux des versions “développeur” des iPhone qui permettront aux hackeurs de plonger plus “profondément” dans l’OS. Ils auront ainsi la possibilité de mettre le processeur en pause pour voir tout ce qui se passe au niveau des données dans la mémoire vive.
Publicité
1 million pour l’élu, et l’élu seulement
Le million ira dans son entièreté à ceux qui parviendront à hacker le noyau d’iOS – sans que l’utilisateur de l’iPhone n’ait eu à faire le moindre clic sur son téléphone.
500 000 $ seront alloués à ceux qui pourront trouver une “attaque venant du net et qui ne requiert aucune interaction avec l’utilisateur“. Un bonus de 50 % est rajouté si la faiblesse est trouvée avant que le software n’entre en fonction.
Publicité
L’augmentation des récompenses par Apple se fait dans un climat de marché privé où les hackeurs vendent les mêmes informations aux gouvernements pour des sommes très élevées.
Antérieurement, une entreprise privée, Zerodium, avait déjà annoncé qu’elle offrirait 2 millions de dollars pour un moyen de pirater un iPhone à distance.
Pour ceux qui seraient sceptiques, Krstić a déclaré lors de la conférence que les primes au bogue précédentes avaient été fructueuses, avec 50 bugs sérieux déclarés depuis 2016.
Publicité
Pour ceux que les programmes de bug bounty passionnent, on leur conseille de visiter la plateforme HackerOne (pour l’international) ou Yes We Hack pour l’Europe.