Bug Bounty : Google a distribué 29 millions de dollars aux chercheurs en sécurité

Félix Cattafesta |

C'est avec une prudence de violette qu'Apple a lancé, en 2016, un programme de chasse aux bugs. D'abord réservé à des chercheurs en sécurité triés sur le volet, ce bug bounty a ouvert ses portes un peu plus largement fin 2019, en élargissant les plateformes concernées et en proposant même un iPhone SRD débarrassé des mécanismes de protection habituels d'iOS.

Malheureusement, les sommes proposées par Apple ne sont pas suffisantes pour attirer des chercheurs préférant vendre leurs trouvailles au plus offrant, ce qui enrichit des entreprises comme NSO Group qui peuvent ainsi commercialiser des logiciels espion comme Pegasus à des États voyous. Quand ce n'est pas l'inertie interne au constructeur qui finit par dégoûter les plus motivés :

Un (mauvais) retour d

Un (mauvais) retour d'expérience sur le programme de primes de sécurité d'Apple

Bref, Apple aurait beaucoup à apprendre de Google dans ce domaine. Le moteur de recherche a ainsi communiqué quelques chiffres concernant son propre programme de recherche de vulnérabilités, qui récompense les chasseurs de bugs et d'autres failles de sécurité. En un peu plus de dix ans d'existence, il a permis de rémunérer plus de 11 000 dysfonctionnements débusqués par 2 022 chercheurs dans 84 pays différents. Au total, Google explique avoir distribué plus de 29 millions de dollars dans le cadre de ce programme.

Le moteur de recherche en profite aussi pour annoncer son nouveau site, baptisé Bug Hunters, qui devrait simplifier les démarches en rapprochant les différentes plateformes (Google, Android, Chrome, Play etc.). En plus d'une refonte graphique, un processus de gamification va être instauré avec des médailles à gagner ainsi qu'un tableau de scores par pays. Google a embauché une vingtaine de chercheurs de bugs qui ont participé au programme.


avatar Florent Morin | 

Apple est vraiment radine sur ce coup-là. Et ça pourrait lui coûter cher.

avatar raoolito | 

@FloMo

dans quel(s) domaine(s) apple n’est pas radine ?

avatar Florent Morin | 

@raoolito

Assez peu. Elle investit surtout dans des domaines clés.

Mais c’est le seul où ça ne lui réussit pas. Pour le reste, elle a su s’en accommoder d’après ses excellents résultats financiers.

Là, c’est différent. Pegasus pourrait bien nuire à son image.

avatar xDave | 

@FloMo

Clairement, la sécurité des logiciels est l’enjeu de ces prochaines années.
Beaucoup de code de base (si je puis vulgariser ainsi) n’ont pas intégré la sécurité dans leur conception initiale et maintenant c’est la course à l’échalote.

On patch et on repatch, le temps de faire mieux en //

avatar Sgt. Pepper | 

@FloMo

Cela ne veut rien dire sur Apple…

Il faudrait savoir déjà si pour un chercheur, il n’est pas plus facile (donc rentable ) de travailler sur Android …

Cet article avance des conclusions sans aucune base factuelle de comparaison

avatar Sgt. Pepper | 

« Malheureusement, les sommes proposées par Apple ne sont pas suffisantes pour attirer des chercheurs préférant vendre leurs trouvailles au plus offrant, ce qui enrichit des entreprises comme NSO Group qui peuvent ainsi commercialiser des logiciels espion comme comme Pegasus »

N’importe quoi 🤦‍♂️

Android est aussi, et sûrement d’avantage, impacté par Pegasus …

avatar MarcMame | 

@Sgt. Pepper

"Android est aussi, et sûrement d’avantage, impacté par Pegasus "

———-
Sûrement mais vu la part de marché respective, Google s’en sort mieux qu’Apple concernant les rétributions

avatar r e m y | 

Ce n'est pas ce qui ressort de l'enquête menée par le groupe de journalistes qui a révélé l'ampleur de cet espionnage d'état... 9 sur 10 des smartphones infestés sont des iPhones et les chercheurs en sécurité qui ont travaillé sur le sujet considèrent qu'iOS, mais aussi l'attitude d'Apple vis à vis de la sécurité, facilitent grandement la tâche de groupes comme le NSO Group.

avatar Sgt. Pepper | 

@r e m y

🤥🤥😤

« It is important to note that

this does not necessarily reflect the relative security of iOS devices compared to Android devices,

or other operating systems and phone manufacturers.

In Amnesty International’s experience there are significantly more forensic traces accessible to investigators on Apple iOS devices than on stock Android devices, therefore our methodology is focused on the former. « 

« While iOS devices provide at least some useful diagnostics, historical records are scarce and easily tampered with. Other devices provide little to no help conducting consensual forensics analysis. »

https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/

avatar r e m y | 

Merci de ces compléments d'information 👍

Cela dit écrire qu'Android est probablement plus impacté qu'iOS par Pegasus, me semble tout de même un peu rapide. Je crois plutôt qu'ils sont l'un et l'autre, tout autant exposés quoi qu'en dise Apple.

avatar Chris K | 

@r e m y

Ces chercheurs considèrent aussi que la durée de rétention des logs sur Android ne permet pas de connaître le niveau d’infection de ces appareils. Du moins c’est ce que j’ai lu (source Le Monde).

avatar DG33 | 

@r e m y

Ou tout simplement parce que les personnes ciblées ont presque toutes les moyens et le bon goût de se payer un iPhone ?

avatar r e m y | 

C'est effectivement une hypothèse à laquelle j'ai pensé en écrivant mon commentaire précédent.

avatar debione | 

@ DG33:

Au-delà de l'argument du "bon goût", je pense qu'avoir cru au marketing Apple semble bien plus probable.

avatar DG33 | 

@debione

Ah les 🧜‍♀️ du marketing et de la publicité 😀

avatar Bigdidou | 

@Sgt. Pepper

« Android est aussi, et sûrement d’avantage, impacté par Pegasus … »

A partir du moment où les deux OS sont vulnérables, cette réflexion n’a pas grand sens.

A la limite, Pegasus est plus dangereux sur iOS parce qu’il y semble moins facilement repérable.

avatar MarcMame | 

@Bigdidou

"A la limite, Pegasus est plus dangereux sur iOS parce qu’il y semble moins facilement repérable."

————
Ou parce que Apple ne cesse de répéter qu’on y est plus en sécurité...

avatar debione | 

@ MarcMame:

Complètement d'accord, à force de faire croire, les gens croient... Après la réalité c'est autre chose...

avatar MarcMame | 

« Au total, Google explique avoir distribué plus de 29 millions de dollars dans le cadre de ce programme. »
———
3 millions de $/an
Une goutte d’eau dans un océan de profits.
C’est bien peu par rapport au bénéfice d’image positive.
Apple merde clairement sur ce point.

avatar Sgt. Pepper | 

@MarcMame

Quel rapport avec Apple…

L’important est la sécurité du code au final , pas le nombre de bugs découvert .

Cela me semble difficile de tirer des conclusions sur la seule base d’un rapport de Google 🤔

avatar MarcMame | 

@Sgt. Pepper

"Quel rapport avec Apple…"

Si tu ne vois pas le rapport, il n’y a pas lieu de discuter plus profondément

avatar DG33 | 

Merci Félix pour la « prudence de violette ».

avatar debione | 

Donc ce que l'on peut en tirer, c'est que dépenser 150.- pour un smartphone vous assure autant de sécurité que 1000.-, c'est à dire aucune si quelqu'un veut vraiment vos infos...

avatar Krysten2001 | 

@debione

Ça veut rien dire 😉 Peu importe le prix de l’iPhone il sera toujours plus sécurisé qu’un Android 😉

avatar r e m y | 

Ce genre de croyance constitue l'une des failles majeures de sécurité d'iOS.
Se croyant protégés les utilisateurs ne prennent aucune mesure de sécurité individuelle avec leur iPhone réputé inviolable.

avatar Krysten2001 | 

@r e m y

Ça a été montré par le matériel et aussi le fait que tout soit contrôlé par Apple,…😉

avatar MarcMame | 

@Krysten2001

"Ça a été montré par le matériel et aussi le fait que tout soit contrôlé par Apple"

Qu’est-ce qui a été démontré ?
Qu’un iPhone est réputé inviolable ?

avatar Krysten2001 | 

Qui a dit qu’il était inviolable ?😉 Arrêtez de surenchérir comme d’habitude.

avatar MarcMame | 

@Krysten2001

"Qui a dit qu’il était inviolable ?😉 Arrêtez de surenchérir comme d’habitude."

C’est une question ! Pas une affirmation.
Lisez correctement les réponses avant de vous emballer.
Je vous demande ce qui a été démontré.

CONNEXION UTILISATEUR