Apple va rémunérer les chasseurs de bugs
08
Août
Presque tous les géants du Web s’y étaient mis, sauf Apple. L’entreprise américaine a annoncé jeudi le lancement de son «bug bounty», un programme qui récompensera les personnes ayant découvert des failles de sécurité dans les logiciels et appareils d’Apple. Il sera ouvert dès septembre et sera d’abord limité à un cercle restreint d’une douzaine de chercheurs en sécurité informatique. Ils pourront gagner entre 25.000 et 200.000 dollars selon la gravité des failles, comme le rapporte le site spécialisé TechCrunch.
Une pratique qui se répand dans le secteur du Web
Lors du Black Hat, une conférence sur la cybersécurité qui s’est tenue cette semaine à Las Vegas, Apple avait expliqué vouloir faire appel à des chercheurs extérieurs pour assurer la sécurité de ses produits. Jusqu’à présent, elle ne comptait que sur ses équipes internes. Les failles de sécurité font l’objet d’un véritable marché gris, où les hackers vendent leurs découvertes au plus offrant, animé de bonnes intentions ou non. En juin, un hacker a ainsi été payé un million de dollars par le FBI pour débloquer l’iPhone d’un terroriste qu’Apple refusait de déverrouiller. En 2015, la société Zerodium, spécialisée dans la traque des failles, a accordé une prime d’un million de dollars à une équipe de hackers ayant réussi à casser à distance les protections d’un iPhone.
Google, Facebook, Microsoft, Tesla… La plupart des grandes entreprises du numérique disposent d’un programme de chasse aux failles de sécurité depuis plusieurs années. Leur objectif: repérer plus vite les bugs qui pourraient compromettre la sécurité des appareils ou la confidentialité des données personnelles de leurs utilisateurs, en étant exploités par des personnes malveillantes. En cinq ans, Facebook a distribué 4 millions de dollars dans le cadre de son programme, chaque découverte de faille étant payée 1780 dollars en moyenne. Microsoft, de son côté, a distribué 1,5 million de dollars en trois ans.
Pour lire l’article depuis sa source, cliquez sur ce lien