Sécurité : Apple va améliorer son bug bounty au vu des critiques
Apple dispose d’un bug bounty, à savoir un programme qui vient récompenser les chercheurs qui trouvent des failles de sécurité. De nombreux chercheurs se plaignent du système actuel en comparaison avec celui d’autres entreprises.
Des critiques pour le bug bounty d’Apple
Le Washington Post a collecté les témoignages de plus de 20 chercheurs en sécurité, expliquant qu’Apple est lent à corriger les bugs et ne paie pas toujours ce qui aurait dû être versé. En 2020, le fabricant a versé 3,7 millions de dollars en récompense pour le bug bounty, contre 6,7 millions de dollars pour Google et 13,6 millions de dollars pour Microsoft. Aussi, des groupes comme Facebook, Microsoft et Google mettent en avant les chercheurs en sécurité qui trouvent des failles majeures et organisent des conférences, et fournissent des ressources pour encourager un large éventail de participants. Apple ne le fait pas.
D’autres critiques concernent la communication d’Apple. La société ne dit pas toujours aux chercheurs en sécurité quelles découvertes de bugs vont se traduire par une récompense. D’anciens employés d’Apple révèlent d’ailleurs qu’il y a un nombre énorme de bugs qui sont signalés et pas corrigés pour autant.
Au vu de la situation, des chercheurs en sécurité s’intéressent moins à Apple et préfèrent vendre les failles à des agences gouvernementales ou des entreprises qui proposent des services de piratage.
Des changements et un nouveau responsable
Ivan Krstić, le responsable de l’ingénierie et de l’architecture de sécurité d’Apple, a réagi aux critiques. Il pense que le bug bounty est un succès, au point que le montant versé a doublé entre 2019 et 2020. Malgré tout, des changements vont avoir lieu. « Nous prévoyons également de mettre en place de nouvelles récompenses pour les chercheurs afin de continuer à accroître la participation au programme, et nous continuons à étudier les moyens d’offrir de nouveaux outils de recherche encore plus performants qui répondent à notre modèle rigoureux de sécurité des plateformes, à la pointe de l’industrie ».
Le bug bounty d’Apple propose des récompenses entre 100 000 et 1 million de dollars. Il est important de conserver des chercheurs en sécurité pour éviter que les iPhone, Mac et d’autres produits soient moins sécurisés. D’autre part, Apple a embauché cette année un nouveau responsable pour son bug bounty. Le programme pourrait donc bien évoluer dans le bon sens.
« Au vu de la situation, des chercheurs en sécurité s’intéressent moins à Apple et préfèrent vendre les failles à des agences gouvernementales ou des entreprises qui proposent des services de piratage. »
C est ce que je soulignais lors d un precedent post sur Pégasus en disant qu ils avaient sous le coude en stock des faille 0 days et autres, donc je pense cette société aura une longue vie. Sachant qu ils écumes tous salons et concours en sécurité et payent largement plus que les autres societes pour ces ces failles.
Est-ce qu’Apple est de mèche avec les agences gouvernementales pour laisser des portes ouvertes volontairement ? 🤔