Des chercheurs trouvent plusieurs failles de sécurité chez Apple
- 👨 Julien Russo
- Il y a 4 ans
- 💬 2 coms
Ils remportent 50 000 dollars de primes (et c'est pas fini)
Si vous avez les connaissances pour chercher et trouver des failles de sécurité dans les OS d'Apple, c'est le moment d'en profiter, Apple est capable de vous payer très cher en cas de découverte de grave bug qui pourrait porter atteinte à la sécurité ou à la confidentialité de ses utilisateurs.
Un groupe de chercheur de sécurité s'est donné pour objectif de trouver plusieurs failles au sein des infrastructures d'Apple. Si auparavant Apple ne payait que pour les failles dans ses OS (tvOS, iOS, macOS, iPadOS...), aujourd'hui la firme de Cupertino vous rémunère également pour des anomalies détectées dans ses services web.
En seulement 3 mois de recherche intensive, les spécialistes dans la cybersécurité ont trouvé 55 vulnérabilités avec une gravité plus ou moins inquiétante.
Le rapport explique que 11 failles ont été classées comme critiques et les 29 restantes ont été considérées comme très graves.
Comme les failles avaient un enjeu sur la sécurité des clients, la firme de Cupertino a décidé de débourser la somme de 50 000 dollars pour récompenser les chercheurs en sécurité qui auraient pu s'en servir contre Apple et réaliser un vrai désastre !
Au cours de notre engagement, nous avons découvert une variété de vulnérabilités dans des parties essentielles de leur infrastructure qui auraient permis à un hacker de compromettre complètement les applications des clients et des employés, de lancer un virus capable de prendre automatiquement le contrôle du compte iCloud d'une victime, de récupérer le code source pour projets internes d'Apple, compromettre totalement un logiciel d'entrepôt de contrôle industriel utilisé par Apple, et reprendre les sessions des employés d'Apple avec la capacité d'accéder aux outils de gestion et aux ressources sensibles.
Toutes les failles trouvées n'ont pas été communiquées, mais ce qui est décrit ci-dessus n'est qu'un aperçu des nombreuses anomalies détectées dans le système de sécurité d'Apple.
Cette grande opération de recherche de bugs a aussi permis de voir le temps de réactivité de l'Apple Park une fois que la faille est remontée. Les experts en cybersécurité affirment qu'en seulement 4 heures, Apple traite le signalement et bouche la faille de sécurité dans les heures qui suivent. Pour certaines anomalies il aura fallu jusqu'à 2-3 jours le temps que celle-ci soit complètement corrigée.
Le chercheur Sam Curry a expliqué :
Apple a eu une expérience intéressante de travail avec des chercheurs en sécurité, mais il semble que leur programme de divulgation des vulnérabilités est un pas important dans la bonne direction pour travailler avec les pirates informatiques pour sécuriser les actifs et permettre aux personnes intéressées de trouver et de signaler les vulnérabilités
À ce jour, l'équipe de sécurité a reçu quatre virements bancaires d'Apple pour une somme totale de 51 500$. D'autres virements devraient prochainement arriver pour récompenser d'autres failles de sécurité importante détectées.
Découvrez la grille des primes du Bug Bounty d'Apple !
Source