Jusqu’à présent, Apple manifestait une certaine réticence à rétribuer les chercheurs qui débusquaient des vulnérabilités dans ses logiciels et ses matériels. Mais l’entreprise californienne a décidé de changer de politique. Désormais, le constructeur est prêt à offrir entre 25 et 200 000 dollars aux chasseurs de bogues s’ils trouvent des failles critiques dans la dernière version d'iOS et les nouveaux iPhones. L’annonce du programme, qui démarrera en septembre, a été faite hier à la conférence sur la sécurité Black Hat qui se tenait du 30 juillet au 4 août à Las Vegas. À la différence des autres programmes de primes, les Bug Bounty Programs, mis en place par d'autres grandes entreprises technologiques (Facebook par exemple), la participation ne pourra se faire que sur invitation. « Pour commencer, Apple va inviter quelques dizaines de chercheurs triés sur le volet, mais ce n’est pas un club d’initiés : toute personne qui trouvera une faille concernée par le programme pourra recevoir une récompense et être invité à le rejoindre », a déclaré Ivan Krstić, le patron du groupe Apple Security Engineering and Architecture, dont la responsabilité est de garantir la sécurité de bout en bout des produits Apple. Par ailleurs, la firme à la pomme a déclaré qu'elle était prête à doubler les récompenses des chercheurs qui feront don de leur argent à un organisme de bienfaisance.
Rich Mogull, CEO de Securosis, une entreprise spécialisée dans la sécurité de l'information, fait remarquer que les programmes de primes aux bogues peuvent avoir des inconvénients et qu'Apple n’était pas obligé d’en mettre un en place. Mais il estime par ailleurs que le constructeur californien peut en tirer quelque chose de positif. Certaines entreprises « veulent absolument éviter d’être prises dans un système de surenchères avec des gouvernements ou de puissantes organisations criminelles, lesquels sont parfois prêts à payer jusqu’à un million de dollars pour certains exploits », a déclaré Rich Mogull dans un blog. « Les programmes de primes aux bogues publics peuvent aussi faire beaucoup de bruit pour rien. Certains exploits donnent lieu à des rapports assez médiocres qui ne mènent pas nécessairement à des corrections de bugs. Par contre, ils consomment beaucoup de ressources en ingénierie pour l’éditeur qui doit faire les vérifications », a-t-il encore déclaré.
Il faudra fournir des PoC de l'impact des failles
Le CEO de Securosis pense que le programme d’Apple privilégie la qualité sur la quantité et que son objectif est clair : débusquer des bogues exploitables dans des domaines clés d’iOS considérés comme une priorité élevée. Elle oblige également les chercheurs à prouver l'impact des failles qu'ils trouvent en fournissant des preuves de concept. Le processus est plus difficile que la simple soumission de bugs, puisque dans ce dernier cas il revient à l’entreprise de mener elle-même les investigations pour évaluer la dangerosité de la faille.
Apple paiera aux chercheurs jusqu'à 200 000 dollars pour les failles critiques qu’ils trouveraient dans les composants sécurisés du firmware de démarrage, jusqu'à 100 000 dollars pour les exploits permettant d’extraire des éléments confidentiels du Secure Enclave Processor, la puce sécurisée qui effectue les opérations de chiffrement sur l’iPhone 5s et au-delà, 50 000 dollars pour les bogues permettant l'exécution de code arbitraire et donnant des privilèges au niveau du noyau, 50 000 dollars pour des solutions permettant d’accéder sans autorisation au compte de données iCloud sur les serveurs d'Apple, et 25 000 dollars pour les vulnérabilités qui permettent de sortir d’une sandbox pour s’introduire dans les données utilisateur. « Les récompenses ont été établies en fonction de la difficulté à trouver chaque type de failles », a déclaré Ivan Krstić.
Les failles touchant iOS se monnayent cher sur le marché gris
Apple n'a pas toujours eu les meilleures relations avec la communauté de la sécurité. Même si de nombreux chercheurs reconnaissent que les produits Apple sont bien sécurisés, l’entreprise a été souvent critiquée sur sa façon de communiquer sur les questions de sécurité ou son manque de communication sur ces sujets. Apple est également l'une des dernières grandes entreprises à lancer un programme de récompenses pour la découverte de failles. Les vulnérabilités pouvant compromettre le système iOS sont parmi celles qui se monnayent au plus haut prix sur le marché gris.
Au moment de la sortie d’iOS 9, un courtier en exploits, qui compte parmi ses clients des agences gouvernementales, a offert 1 million de dollars pour un jailbreak basé sur le navigateur qui permettait d’obtenir un accès root à iOS en visitant simplement un site web. Le FBI a également acheté un exploit iOS à des pirates informatiques pour accéder aux données de l'iPhone verrouillé de Syed Farook, responsable, avec sa compagne Tashfeen Malik, de la tuerie perpétrée le 2 décembre 2015 dans un centre de services sociaux à San Bernardino, Californie, faisant 14 victimes.
Lors de la conférence Black Hat, un participant a demandé pourquoi Apple avait attendu aussi longtemps pour lancer un programme de primes. « Des chercheurs nous ont dit que la recherche de vulnérabilités critiques était de plus en plus difficile, et Apple a voulu récompenser ceux qui prenaient le temps de le faire », lui a répondu Ivan Krstić.