Il y a un peu moins d'un an, Apple a lancé un nouveau centre de recherche sur la sécurité, avec notamment une mise à niveau de son programme de bug bounty ou des mises à jour du programme de dispositifs de recherche sur la sécurité.
COmment candidater au programme Bug Bounty d'Apple
À partir d'aujourd'hui, et jusqu'au 31 octobre, Apple a ouvert la possibilité de postuler pour son programme de dispositifs de recherche sur la sécurité pour 2024 (SRDP).
Apple souligne que depuis le début du SRDP en 2019, 130 vulnérabilités critiques pour la sécurité ont été découvertes par des chercheurs, apportant une contribution importante au système. Par ailleurs, elle relève plus de 100 personnes qui ont reporté des primes de bogues avec de multiples récompenses atteignant 500 000 dollars et une prime médiane de près de 18 000 dollars.
À partir d'aujourd'hui et jusqu'au 31 octobre, nous invitons les chercheurs en sécurité à postuler au programme 2024 sur les dispositifs de recherche sur les appareils de sécurité de l'iPhone (SRDP) pour lancer leur recherche sur l'iPhone, travailler avec nos équipes de sécurité pour aider à protéger les utilisateurs et se qualifier pour les récompenses Apple Security Bounty.
Apple précise également que le Security Research Device (SRD) -un iPhone spécialement préparé- est destiné à être utilisé dans un cadre contrôlé pour la recherche sur la sécurité uniquement. Si la demande est approuvée, un SRD sera fourni sous la forme d'un prêt renouvelable de 12 mois, pendant lesquels l'appareil reste la propriété d'Apple. Cela permet d'effectuer des recherches de sécurité iOS sans avoir à contourner ses fonctionnalités de sécurité.
Enfin, un accès complet à l’iPhone est possible et permet d’exécuter n'importe quel outil, de choisir ses propres droits et même personnaliser le noyau. L'utilisation du SRD permet de signaler en toute confiance toutes les conclusions à Apple sans risquer de perdre l'accès aux couches internes de la sécurité iOS. De plus, toutes les vulnérabilités découvertes avec le SRD sont automatiquement prises en compte pour Apple Security Bounty (et pour recevoir une petite récompense le cas échant).
Un programme en perte de vitesse
Depuis longtemps, le programme de primes de sécurité d’Apple n’a pas trop la cote auprès des chercheurs.Lancé en 2016, l’initiative incite à trouver des failles dans les programmes et systèmes d’Apple en échange de récompenses financières, dont le montant varie en fonction de la gravité du bug trouvé.
Sur le papier, le programme est séduisant mais en pratique, la réalité est un peu différente. En effet, de nombreux développeurs et chercheurs se plaignent de la mauvaise communication (trop lente ?) ou encore des retards de paiements reçus, ce qui nuirait à la fois à la pérennité du programme et à la sécurité des produits.
