Vous pensez pouvoir pénétrer dans un serveur Apple ? Si tel est le cas, vous pourriez gagner jusqu’à 1 million de dollars. La firme à la pomme a dévoilé un programme visant à tester la sécurité des serveurs qui jouera un rôle majeur dans son service Apple Intelligence.
Alors qu’Apple s’apprête à lancer officiellement son service d’intelligence artificielle cette semaine avec la mise à jour iOS18.1, l’entreprise se concentre sur la sécurité. Bien qu’une grande partie du traitement des requêtes Apple Intelligence se fasse sur l’appareil, certaines devront être traitées sur des serveurs. Collectivement connus sous le nom de Private Cloud Compute (PCC), ces serveurs Apple doivent être protégés contre tout type de cyberattaque ou de piratage.
Apple livre un guide complet
Après l’annonce d’Apple Intelligence, Apple a invité des experts à inspecter et vérifier la sécurité et la confidentialité de bout en bout des serveurs. La société a même donné à certains chercheurs accès à un environnement de recherche virtuel et à d’autres ressources pour les aider à tester la sécurité du PCC. Pour aller encore plus loin, Apple ouvre la porte à quiconque voudrait tenter de pirater ses serveurs.
Les participants ont accès à un guide de sécurité informatique dans le cloud privé qui explique le fonctionnement du PCC en mettant l’accent sur l’authentification des demandes, l’inspection des logiciels exécutés dans les centres de données Apple et la conception de la confidentialité et de la sécurité. Sécurité PCC pour résister à différents types de cyberattaques.
L’Environnement Virtuel de Recherche (VRE) est également ouvert à tous les candidats bonus. Fonctionnant sur un Mac, ERV vous permet d’inspecter les versions du logiciel PCC, de télécharger des fichiers pour chaque version, de démarrer une version dans un environnement virtuel et de commencer à utiliser le logiciel PCC pour l’étudier plus en détail. Apple a même publié le code Source de certains composants clés de PCC, accessible sur GitHub.
Découvrez des vulnérabilités dans trois domaines
Ce programme de bug bounty est conçu pour découvrir des vulnérabilités dans trois domaines principaux :
Divulgation accidentelle de données : vulnérabilités qui exposent des données en raison de défauts de configuration PCC ou de problèmes de conception du système.
Compromission externe due aux demandes des utilisateurs : vulnérabilités qui permettent aux attaquants d’exploiter les demandes des utilisateurs pour obtenir un accès non autorisé au PCC.
Accès physique ou interne : vulnérabilités dans lesquelles l’accès aux interfaces internes de PCC permet à quelqu’un de compromettre le système.
Le montant des primes
Voici les montants qu’Apple paiera pour différents types de hacks et de découvertes :
- Divulgation accidentelle ou inattendue de données en raison d’un problème de déploiement ou de configuration : 50 000 $ ;
- Possibilité d’exécuter du code non certifié : 100 000 $ ;
- Accès aux données de requête d’un utilisateur ou à d’autres informations utilisateur sensibles en dehors de la limite de confiance (la zone où le niveau de confiance change en raison de la nature sensible des données capturées) : 150 000 $ ;
- Accès aux données de requête d’un utilisateur ou à des informations sensibles sur les requêtes de l’utilisateur en dehors de la limite de confiance : 250 000 $ ;
- Exécution arbitraire de code sans la permission ou à l’insu de l’utilisateur disposant de droits arbitraires : 1 000 000 $.
Apple promet de récompenser financièrement toute découverte d’un problème de sécurité ayant un impact significatif sur PCC, même s’il ne rentre dans aucune des catégories.
« Nous espérons que vous approfondirez la conception du PCC avec notre guide de sécurité, explorerez le code vous-même avec l’environnement de recherche virtuel et signalerez tout problème que vous rencontrez via Apple Security Bounty. “, explique Apple. ” Nous pensons que Private Cloud Compute est l’architecture de sécurité la plus avancée jamais déployée pour le cloud computing à grande échelle, et nous sommes impatients de travailler avec la communauté des chercheurs pour renforcer la confiance dans le système et le rendre encore plus sécurisé et privé au fil du temps. »
Related News :