Un groupe de pirates informatiques a reçu plus de 50 000 $ d’Apple pour avoir découvert 55 vulnérabilités dans les systèmes d’exploitation de l’entreprise.

failles Apple

Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb et Tanner Barnes ont passé trois mois à pirater les plates-formes et les services d’Apple . Leur objectif premier était de découvrir un certain nombre de failles. Les 55 vulnérabilités découvertes par l’équipe étaient de gravité variable, dont certaines étaient considérées comme « critiques ».

« Au cours de notre étude, nous avons découvert un certain nombre de vulnérabilités à des points importants de leur infrastructure, ce qui aurait permis à un attaquant de compromettre complètement les applications des clients et des employés, de démarrer un ver qui pourrait détecter automatiquement le compte iCloud d’une victime, récupérer le code source des projets internes d’Apple, compromettre le logiciel interne utilisé par Apple et accéder aux outils et ressources de gestion accessibles uniquement aux employés. »

Apparemment, Apple a rapidement corrigé la plupart des vulnérabilités, dont certaines ont été corrigées en quelques heures.

« Dans l’ensemble, Apple a été très réactive après nos rapports. La solution des bugs les plus critiques est arrivée en seulement quatre heures entre le moment de la soumission et le moment de la correction. »

Dans le cadre du programme Security Bounty d’Apple, le groupe a reçu plusieurs prix en espèces, totalisant 51 500 $. La somme comprend 5 000 $ pour le problème de divulgation du nom complet de l’utilisateur relatif à iCloud‌, 6 000 $ pour la découverte de vulnérabilités IDOR, 6 500 $ pour l’accès aux environnements internes de l’entreprise et 34 000 $ pour les fuites de mémoire système contenant des données client.

L’équipe a confirmé qu’Apple avait travaillé en étroite collaboration avec eux sur des correctifs de bugs. D’ajouter que le programme de divulgation de vulnérabilités était un « excellent moyen de faire travailler les pirates, de découvrir les fuites et de les divulguer à l’entreprise ».

Rappelons que les chercheurs en sécurité peuvent recevoir des prix allant jusqu’à 1,5 de dollars, selon la nature et la gravité du bug découvert.

Lire aussi : Bug Bounty : Apple augmente la récompense à 1.5 million de dollars

Partager un commentaire