Apple va enfin récompenser les (gentils) pirates informatique

En ce moment se déroule la grande messe du monde de la sécurité informatique, la Black Hat à Las Vegas. L'occasion pour tous les grands chercheurs de présenter leurs trouvailles et globalement améliorer le niveau de sécurité de différents produits. Apple avait annoncé être présent à l'évènement et même qu'il y aurait une annonce.

Le voile est tombé et c'est un bug bounty program qui est lancé, un système de rémunération pour des failles découvertes. Beaucoup d'entreprises le font depuis longtemps et Apple vient finalement suivre le reste de la troupe. Pour autant, les récompenses restent relativement "modestes" puisqu'elles iront de 25 000$ à 200 000$. 

La récompense dépendra de l'élément impacté, la première tranche jusqu'à 25 000$ correspond à une faille dans un environnement de type "bac à sable" (sandbox) qui permettrait d'en sortir et d'accéder à des données hors de cette sandbox. Le second palier jusqu'à 50 000$ sera versé en cas d'accès à des comptes iCloud sur les servers Apple ou d'exécution de code arbitraire avec droits maximaux (kernel).

Enfin, pour toucher jusqu'à 100 000$ il faudra aller taquiner le Secure Enclave processor qui s'occupe de toute la partie cryptographie et lui extraire des données. La marche la plus haute à 200 000$ correspond aux attaques sur le Secure boot qui permet de garantir que le démarrage de la machine est intègre.

Malgré toutes les critiques qui sont faites à Apple, s'il y a bien un point sur lequel la firme est compétente c'est la sécurité de ses produits (logique diront certains puisque tout est fermé!), il faudra donc cravacher pour obtenir une récompense !

Qui veut se faire jusqu'à 200 000$ ?