Posté le octobre 9, 2020 à 14:42
DES WHITE HACKERS REÇOIVENT UNE GROSSE PRIME POUR AVOIR DÉCOUVERT 55 VULNÉRABILITÉS D’APPLE
Une équipe de chercheurs en sécurité a récemment découvert 55 vulnérabilités dans Apple après avoir passé trois mois à pirater le système d’Apple.
Après que le rapport de la vulnérabilité ait été divulgué à Apple par les chercheurs, la société les a indemnisés en leur versant des primes totalisant plus de 50 000 dollars.
Apple a mis en place un programme de prime aux bogues qui récompense les chercheurs en sécurité pour leurs efforts dans la découverte des vulnérabilités de leurs systèmes.
Cependant, l’un des chercheurs, Sam Curry, pensait que le programme de prime ne concernait que les vulnérabilités affectant des produits physiques comme l’iPhone.
Cependant, Curry a noté en juillet qu’Apple proposait également des primes pour l’infrastructure web. Selon la déclaration disponible sur la page du programme de prime d’Apple, le programme de prime est disponible lorsque le bogue aurait eu un impact sur les utilisateurs. Après avoir découvert que le programme d’Apple inclut l’infrastructure web, il a appelé d’autres white hackers, Tanner Barnes, Samuel Erb, Ben Sadeghipour et Brett Buerhaus, et a commencé à examiner les systèmes d’Apple.
Après avoir analysé les systèmes de la société et testé différents exploits pendant trois mois, le chercheur en sécurité a découvert 55 vulnérabilités au sein de l’infrastructure web d’Apple.
29 de ces vulnérabilités ont été considérées comme très graves, tandis que 11 autres ont été classées comme critiques.
« Au cours de notre engagement, nous avons trouvé une variété de vulnérabilités dans des parties essentielles de leur infrastructure », ont révélé les chercheurs.
Selon eux, la vulnérabilité aurait pu permettre aux hackers d’exploiter et de compromettre les applications des employés et des clients. Les hackers, en accédant au système, pourraient implanter un ver qui pourrait prendre le contrôle du compte cloud de la victime.
L’équipe n’a pas divulgué tous les détails de ses découvertes pour des raisons de sécurité. Cependant, Curry a révélé certaines des vulnérabilités.
Si les chercheurs avaient divulgué les détails des vulnérabilités, cela aurait compromis le programme Distinguished Educators d’Apple, permettant aux hackers de voler des données iCloud par le biais de courriels et d’autres méthodes de phishing. Une autre vulnérabilité découverte aurait donné aux hackers la possibilité d’infiltrer le système de stockage et la mémoire interne d’Apple.
L’équipe de recherche a été autorisée à publier des informations
L’équipe de recherche a également déclaré qu’Apple leur a permis de publier leurs conclusions sur les vulnérabilités, car ils ont reçu un soutien complet pour toute activité relative à ces découvertes.
L’équipe de recherche réitère que tous les détails des vulnérabilités révélées au public ont été entièrement testés et corrigés, et que les utilisateurs ne devraient pas divulguer d’informations sur la sécurité d’Apple sans avoir obtenu la permission de la société.
Les chercheurs en sécurité ont également révélé qu’ils n’avaient pas assez d’informations sur le programme de primes d’Apple et qu’ils ne s’attendaient pas à recevoir une telle prime après leurs découvertes.
L’équipe de sécurité d’Apple a été réactive
M. Curry a également déclaré que l’équipe de sécurité de la société a été très réactive tout au long de la période. Après que les chercheurs en sécurité aient divulgué leurs conclusions à l’équipe de sécurité d’Apple, la vulnérabilité a été corrigée dans les deux jours ouvrables, tandis que certaines ont même été corrigées quelques heures après avoir reçu les rapports.
Le 4 octobre, Apple avait déjà versé 51 500 dollars à l’équipe de chercheurs pour certaines des vulnérabilités qu’ils avaient découvertes. La société a promis d’envoyer davantage de primes pour les vulnérabilités plus critiques que les chercheurs ont découvertes.
Le programme de primes d’Apple offre une meilleure sécurité des infrastructures
Depuis des mois, le réseau d’entreprise du géant de la technologie risque de faire l’objet d’une tentative de piratage informatique qui aurait volé des données sensibles à des millions de clients et implanté des codes malveillants sur leurs ordinateurs et téléphones. Mais le programme de primes a permis de repérer de nombreuses vulnérabilités qui pourraient potentiellement conduire à une cyberattaque contre l’entreprise et ses clients.
Le programme de primes d’Apple est relativement bien connu des chercheurs en sécurité. Bien que l’entreprise ait travaillé en étroite collaboration avec les chercheurs en sécurité, elle a poussé sa relation avec les chercheurs encore plus loin avec ce programme de primes.
Le programme de primes a également aidé le géant technologique à mieux sécuriser son infrastructure web et ses autres produits physiques. Il a également incité d’autres entreprises à proposer des programmes similaires, car il est bien moins coûteux d’offrir des récompenses que de s’empêtrer dans le paiement d’une rançon si des hackers s’infiltrent dans le système.
