Apple: le nouveau programme provoque des réactions mitigées

Le programme Security Research Device d’Apple a finalement été lancé. Il permet à certains chercheurs en sécurité d’accéder à des iPhones testables, ce qui leur permettra de trouver plus facilement les vulnérabilités d’iOS.

Le programme propose aux chercheurs en sécurité des iPhones spécialement configurés avec un accès shell et des fonctionnalités spéciales telles que des capacités de débogage avancées. Les appareils se comportent «pratiquement comme un iPhone standard afin d’être une cible représentative pour la recherche», a déclaré Apple.

«Dans le cadre de l’engagement d’Apple dans la sécurité, ce programme est conçu pour aider à améliorer la sécurité de tous les utilisateurs iOS, attirer davantage de chercheurs vers l’iPhone et améliorer l’efficacité de ceux qui travaillent déjà sur la sécurité d’iOS», selon Apple dans une annonce. «Le programme utilise un iPhone dédié exclusivement à la recherche de sécurité, avec des politiques uniques d’exécution de code et de confinement.»

Pour être éligibles au programme, les chercheurs doivent être titulaires d’un compte dans le programme Apple Developer Program et avoir «fait leurs preuves» dans la recherche de problèmes de sécurité sur les plates-formes d’Apple.

apple

Les appareils sont fournis sur une base renouvelable de 12 mois, ne sont pas destinés à un usage personnel et doivent rester dans les locaux des participants au programme à tout moment.

«Si vous utilisez le SRD pour trouver, tester, valider, vérifier ou confirmer une vulnérabilité, vous devez le signaler rapidement à Apple et, si la faille se trouve dans un code tiers, au parti-tiers approprié», selon Apple.

Réactions mitigées face au nouveau programme d’Apple

Le programme Security Research Device a été salué par certains dans le domaine de la sécurité informatique comme un «bon pas en avant» pour le fabricant d’iPhone, qui jusqu’à l’été dernier avait un programme bug bounty très restreint.

Patrick Wardle, chercheur en sécurité chez Jamf, a déclaré que le nouveau programme rendra l’analyse des applications tierces beaucoup plus facile – ce qui «peut avoir un impact direct sur les utilisateurs finaux de manière positive».

“Je suis heureux qu’Apple progresse avec ce programme”, a déclaré Wardle. «Bien que les périphériques ne soient pas complètement ouverts (c’est-à-dire qu’ils n’auront probablement pas la capacité de démarrer des noyaux personnalisés, etc.) et qu’il existe des restrictions légales (c’est-à-dire que toute faille trouvée doit être signalé à Apple), je pense toujours que c’est une bon pas en avant.”

apple jailbreak

D’un autre côté, Ben Hawkes, membre de l’équipe de recherche Google Project Zero, s’est exprimé sur Twitter pour parler de son mécontentement concernant les restrictions de divulgation de vulnérabilité du programme.

«Il semble que nous ne pourrons pas utiliser le « Security Research Device » d’Apple en raison des restrictions de divulgation de vulnérabilités, qui semblent spécifiquement conçues pour exclure Project Zero et les autres chercheurs qui utilisent une politique de 90 jours», a-t-il déclaré.

La politique du programme stipule que si les chercheurs signalent une vulnérabilité affectant les produits Apple, la compagnie leur fournira une date de publication (généralement la même date que la date de publication de la mise à jour de sécurité qui résout le problème).

«Apple travaillera de bonne foi pour résoudre chaque vulnérabilité dès que possible», selon la politique du programme. “Jusqu’à la date de publication, vous ne pouvez pas discuter de la vulnérabilité avec d’autres personnes.”

Hawkes a déclaré que Google Project Zero continuera de faire des recherches sur les plates-formes d’Apple et de partager leurs conclusions. “Mais je dois avouer que je suis assez déçu”, a-t-il déclaré.

Une meilleur relation avec les chercheurs

Le concept d’iPhones testables pour les chercheurs en sécurité a été annoncé pour la première fois lors du Black Hat USA 2019, lorsque Apple a lancé son programme de bug bounty remanié. Dans le cadre de son nouveau programme de bug bounty, ils ont déclaré qu’ils ouvriraient le programme historiquement privé à tous les chercheurs et augmenterait considérablement certaines récompenses pour les vulnérabilités trouvées dans leurs appareils – y compris un paiement de 1 million de dollars – ainsi que l’ajout d’un programme pour les appareils Mac.

Wardle a déclaré qu’Apple avait également fait de bons progrès dans l’amélioration de sa communication avec la communauté de la sécurité informatique dans son ensemble en créant un forum qui facilite les communications entre les chercheurs en sécurité et les ingénieurs d’Apple.

«Chaque fois qu’il y a plus de communication entre ces deux parties, c’est gagnant-gagnant pour tout le monde», a-t-il souligné.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x