Nouvelles

Le nouvel iPhone d'Apple récompense les pirates pour les bogues

Le nouvel iPhone d'Apple récompense les pirates pour les bogues


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

Lors de la conférence des hackers Black Hat de l'année dernière à Las Vegas, Apple a annoncé qu'elle publierait des iPhones piratables pour aider les chercheurs en sécurité à rechercher des vulnérabilités sur les smartphones.

Presque exactement un an plus tard, l'iPhone piratable a été publié par le programme SRD (Security Research Device) d'Apple. Alors que certains ont félicité Apple pour leur engagement envers la sécurité de leurs appareils, d'autres ne sont pas aussi heureux.

CONNEXES: APPLE AWARDS HACKER 100000 $ POUR DÉCOUVRIR UNE CONNEXION AVEC APPLE VULNERABILITY

Qu'est-ce que le «dispositif de recherche sur la sécurité» d'Apple?

Apple est connu depuis longtemps pour protéger ses appareils et refuser même de les ouvrir au FBI. Bien que ce soit excellent pour les consommateurs, car cela signifie qu'ils ont un téléphone très sécurisé, il a été difficile pour les chercheurs en sécurité d'analyser le smartphone emblématique pour détecter les vulnérabilités.

Désormais, pour quelques chanceux, ils pourront avoir un aperçu approfondi d'iOS au niveau du code. Avec le lancement le 22 juillet du programme SRD d'Apple, rapporte Forbes, Apple lancera ce qu'ils ont surnommé «dispositifs de recherche sur la sécurité» (SRD). Celles-ci viendront "avec des politiques uniques d'exécution de code et de confinement", dit la société.

Pour accéder à l'un de ces appareils, un candidat doit être inscrit au programme Apple Developer Program et être en mesure de prouver ses antécédents en matière de découverte de problèmes de sécurité.

Toute personne acceptée se verra essentiellement prêter un SRD pendant 12 mois, qui ne sera utilisé que dans un cadre de sécurité strictement contrôlé.

Restrictions controversées

Tout en permettant aux chercheurs de se plonger dans le code iOS à la recherche de vulnérabilités comme jamais auparavant, le programme SRD d'Apple a malheureusement courtisé la controverse en raison des restrictions que la société a imposées à tous les chercheurs qui découvrent lesdites vulnérabilités.

«Si vous utilisez le domaine SRD pour trouver, tester, valider, vérifier ou confirmer une vulnérabilité, vous devez le signaler rapidement à Apple et, si le bogue est dans un code tiers, au tiers approprié», indique les exigences.

Ce n'est pas le problème cependant. Le problème, selon plusieurs commentateurs, est le suivant:

Une fois la vulnérabilité signalée, «Apple vous fournira une date de publication (généralement la date à laquelle Apple publie la mise à jour pour résoudre le problème)» et «travaillera de bonne foi» pour résoudre la vulnérabilité signalée dès que possible. Les restrictions empêchent les chercheurs de parler à la presse avant la date de publication.

Cette restriction semble avoir été adaptée de manière à exclure certains chercheurs en sécurité bien connus qui utilisent une politique de 90 jours pour leurs annonces. Ben Hawkes, responsable technique Project Zero de Google, s'est adressé à Twitter pour dire ce qui suit:

Il semble que nous ne pourrons pas utiliser le "Security Research Device" d'Apple en raison des restrictions de divulgation de vulnérabilités, qui semblent spécifiquement conçues pour exclure Project Zero et d'autres chercheurs qui utilisent une politique de 90 jours.

- Ben Hawkes (@benhawkes) 22 juillet 2020

Alors qu'Apple autorise un accès sans précédent à son système iOS avec ses iPhones piratables, certains affirment que leur programme SRD ne sera pas bénéfique en raison de restrictions trop strictes imposées aux chercheurs en sécurité qui font partie du programme.


Voir la vidéo: Restaurer un iPhone, un iPad ou un iPod touch depuis une sauvegarde iCloud - Assistance Apple (Janvier 2023).