Dans le domaine de la cybersécurité, la moindre faille peut être dévastatrice, aussi bien pour la firme que pour les utilisateurs. C’est dans cette optique que Google et Apple redoublent toujours d’efforts avec des programmes de Bug Bounty.
Apple propose jusqu’à 1 million de dollars pour toute faille de sécurité détectée
Alors qu'iOS 18.1 approche à grands pas, la firme de Cupertino lance un appel aux experts en cybersécurité pour chercher le moindre bogue dans leur infrastructure boostée à l’IA : le Private Cloud Compute (PCC). Selon la gravité de la faille, Apple serait prête à offrir des sommes pouvant attendre le million de dollars.
Apple : la moindre faille peut rapporter gros
Tandis que Google déploie son programme de Cloud VRP, Apple lui emboîte le pas en proposant une véritable chasse au trésor aux chercheurs pour participer au sien et ainsi renforcer conjointement l’infrastructure de son Cloud et de ses divers services d’IA (Genmoji, Image Playground, etc.).
La firme de Cupertino a fait depuis un moment la sécurité de la vie privée son fer de lance, les domaines récompensés visent donc tout ce qui peut compromettre la sécurité de l’utilisateur. Pour rappel, l'entreprise avait ouvert ce programme à un groupe restreint avant de le généraliser au grand public. Voici donc un tableau récapitulatif des primes qu'offre Apple :
Catégorie | Description | Récompense maximale |
Attaque à distance sur les données de requête | Exécution de code de façon arbitraire avec des droits arbitraires | 1 000 000 $ |
L'accès aux données relatives à la demande d'un utilisateur ou à des informations sensibles le concernant en dehors de la limite de confiance | 25 000 $ | |
Attaque sur une requête de données provenant d'une position privilégiée du réseau | L'accès aux données liées à la requête ou à des informations confidentielles de l'utilisateur en dehors de la zone de confiance | 150 000 $ |
La capacité à exécuter un code non attesté | 100 000 $ | |
Une divulgation accidentelle ou inattendue de données à cause d'un problème de déploiement ou de configuration | 50 000 $ |
Que le meilleur gagne !
Dans le but d’accompagner les chercheurs dans la recherche de failles, le géant de la tech propose un guide de sécurité qui révèle certains aspects techniques du PCC en plus d’un « environnement de recherche virtuel » qui permet d’effectuer des analyses et de l’exécuter sur Mac. Ce dernier doit être équipé de la technologie Apple Silicon et de 16 Go de mémoire supplémentaires en plus d’utiliser la dernière version de macOS (Sequoia 15.1 Developer Preview). Un code source Github contenant « certains composants clés du PCC » aidant à l’implémentation des exigences en matière de sécurité et du respect de la vie privée a également été mis à disposition.
En plus des sommes d'argent astronomiques, Apple envisage d'offrir une « récompense potentielle » pour tout problème impactant lourdement le PCC. « Pour encourager davantage la recherche sur le Private Cloud Compute, nous élargissons l’Apple Security Bounty afin d’inclure des récompenses pour les vulnérabilités qui démontrent une compromission des garanties fondamentales de sécurité et de confidentialité de PCC », indique l’entreprise.
Apple Intelligence ne tardera pas à débarquer pour les utilisateurs d'iPhone avec iOS 18.1. Reste à voir si l’IA de la marque à la pomme saura faire face à des géants, comme ChatGPT d’OpenAI et Gemini de Google.