Apple se prépare à offrir les récompenses les plus élevées du secteur avec son nouveau programme de récompenses de vulnérabilité qui entrera en vigueur le mois prochain. La société paiera jusqu'à 2 millions de dollars aux chercheurs en sécurité qui identifient les chaînes d'exploitation avancées ne nécessitant aucune interaction de la part de l'utilisateur. Ces vulnérabilités sont similaires aux méthodes utilisées par les logiciels espions avancés parrainés par l’État. Avec cette étape, Apple vise à encourager des recherches plus approfondies sur les surfaces d’attaque complexes.
L'un des aspects les plus frappants de ce nouveau système est que les montants des récompenses ont été réorganisés en fonction des différents types d'attaques. Par exemple, le montant payable pour les chaînes d'exploits qui affectent les utilisateurs en un seul clic a été augmenté à 1 million de dollars. Auparavant, le plafond fixé pour cette catégorie n'était que de 250 000 dollars. Ce changement inclut également les travaux menés contre les attaques par contact rapproché. D'autre part, grâce à cette nouvelle structure, l'objectif est d'inclure un groupe plus large de chercheurs dans le programme. L'entreprise souhaite être vigilante non seulement contre les logiciels, mais également contre les attaques nécessitant un accès physique.
Apple remodèle son système de récompense pour les menaces de sécurité complexes
Pour les attaques nécessitant un accès physique à des appareils verrouillés, le montant de la récompense a été doublé et atteint jusqu'à 500 000 dollars. Cela soutient la recherche contre les attaques, notamment celles menées dans les lieux publics ou au moyen d'appareils saisis. De plus, la limite supérieure pour les types d'attaques nécessitant un contact physique avec l'appareil a été mise à jour à 1 million de dollars. De cette manière, Apple donne la priorité aux vulnérabilités matérielles autant qu’aux logiciels. Les violations de la sécurité physique peuvent souvent être plus dangereuses que les vulnérabilités logicielles. Par conséquent, cette augmentation des taux de récompense est directement influencée par le niveau de risque des types d’attaques.
En outre, Apple évaluera également les tentatives visant à contourner le mode de verrouillage proposé dans le navigateur Safari dans le cadre du programme de récompense. Ce mode offre une couche de sécurité spéciale qui vise à protéger l'appareil contre les attaques ciblées à haut risque. La désactivation de ce mode dans des scénarios d'attaque avancés peut affaiblir toute la structure de sécurité restante du système. C’est exactement pourquoi le montant de la récompense à verser aux chercheurs qui découvrent de telles vulnérabilités peut dépasser les 5 millions de dollars. Apple précise que ce type de vulnérabilités, particulièrement remarquées dans les logiciels bêta, constituent le premier maillon de la chaîne d'attaque. Pour cette raison, la portée du programme a été élargie et des niveaux de récompense plus élevés ont été définis.
Apple n'a pas oublié les chercheurs qui ont contourné la protection sandbox et exécuté le code WebContent. De tels exploits ouvrent la voie à la propagation d’applications exécutées dans des zones isolées dans tout le système. Selon le nouveau tableau de récompenses élaboré, les chercheurs qui réussiront à révéler de tels scénarios pourront recevoir des paiements allant jusqu'à 300 000 dollars. Cet exemple montre qu'Apple prête attention non seulement à la face visible de son architecture de sécurité, mais également aux détails techniques qui la sous-tendent. Malgré tout, ces déclarations d'Apple représentent de nouvelles opportunités pour les experts indépendants effectuant des recherches dans le secteur. Parce que de telles récompenses encouragent les professionnels travaillant dans le domaine de la sécurité à gérer des structures plus complexes.
Ivan Krstić, vice-président de l'ingénierie de sécurité d'Apple, a donné des détails sur l'étendue du programme dans sa déclaration à Wired. Il a annoncé qu'un total de 35 millions de dollars a été versé à ce jour à plus de 800 chercheurs. Il a toutefois souligné que les récompenses majeures sont très rarement décernées. Jusqu'à présent, des paiements d'environ 500 000 dollars ont été effectués à plusieurs reprises. En outre, il a été déclaré que l'entreprise souhaitait rendre le programme de récompense encore plus transparent et accessible. Selon Krstić, des incitations élevées augmentent la qualité du programme et la profondeur de la recherche.
Selon les informations fournies par Apple, toutes les attaques au niveau du système iOS détectées sur le terrain sont provoquées par des logiciels espions avancés. Ces logiciels fonctionnent souvent en collaboration avec des organisations parrainées par l'État. Ces attaques, qui ciblent des individus spécifiques, ne peuvent pas être facilement détectées par les solutions antivirus ou de sécurité traditionnelles. Conscient de cette situation, Apple a introduit des mesures de protection plus radicales comme le mode verrouillage. D'autre part, des mesures de sécurité supplémentaires opérant au niveau du système, telles que la protection de l'intégrité de la mémoire, ont également été intégrées à cette structure. Ainsi, les couches de sécurité sont rendues plus difficiles à violer.
Même si les nouvelles mesures de sécurité augmentent la résistance du système, une protection absolue ne peut être assurée contre les techniques des attaquants en constante évolution. Pour cette raison, Apple a décidé de soutenir davantage la recherche dans les domaines les plus sensibles du système. En d’autres termes, l’objectif n’est pas seulement de combler les vulnérabilités existantes, mais aussi d’identifier à l’avance les zones de faiblesse potentielles. Cette approche devient plus claire avec la version mise à jour du programme. Parce que des chaînes d’exploitation complexes peuvent se cacher non seulement à la surface externe du système, mais aussi au plus profond de celui-ci. Cela rend inévitable une recherche plus approfondie.
Comme d’autres entreprises technologiques, Apple utilise son programme de primes de sécurité comme outil de communication et de collaboration. Cependant, le parcours d'Apple dans ce domaine diffère de celui de ses concurrents en termes de montant des récompenses. Toutefois, la qualité du programme se démarque non seulement en termes financiers, mais également en termes de détails techniques et de délais de réponse offerts aux chercheurs. Cette interaction avec la communauté de la sécurité crée un bouclier de protection qui s'applique à tous les utilisateurs, pas seulement aux appareils Apple. Malgré tout, ce programme est important non seulement pour la détection des erreurs, mais aussi pour la formation d'une culture de sécurité à long terme.
