Apple lance un iPhone destiné aux chercheurs en sécurité

Mickaël Bazoge |

Annoncé il y a quasiment un an en même temps que son programme de chasse aux bugs finalement ouvert en décembre dernier, le modèle spécial d'iPhone destiné aux chercheurs en sécurité est finalement disponible. Ce smartphone très particulier, proposé dans le cadre du programme Apple Security Research Device (SRD), doit être utilisé dans un environnement contrôlé. Pas question d'en faire votre iPhone de tous les jours !

Et ce pour une bonne raison : ce terminal « dev-fused » est fourni avec une version spéciale d'iOS, qui contient des fonctions inédites comme un accès SSH et root afin d'y exécuter des commandes de bas niveau. Des outils de déboggage sont également intégrés afin de faciliter la vie des chercheurs. L'iPhone SRD est un prêt de 12 mois renouvelable, et il demeure la propriété d'Apple. L'accès à l'appareil doit être limité aux personnes autorisées par le constructeur.

Si le chercheur tombe sur une vulnérabilité dans le système ou dans une application tierce, il est chaudement recommandé de prévenir Apple ou le développeur tiers. Ce modèle est proposé en France, en Belgique, en Suisse, au Canada aux États-Unis et dans une poignée de pays supplémentaires. Pour pouvoir utiliser l'iPhone SRD, il faut être membre du programme Apple Developer et avoir déjà trouvé des failles de sécurité sur des plateformes d'Apple ou d'autres constructeurs.

Tags
#bug bounty #sécurité #iPhone SRD
avatar R-APPLE-R | 

Moi j’ai trouvé une faille de sécurité dans iOS : Google ! J’ai le droit du coup a se téléphone spécial 😝

avatar Thegoldfinger | 

Perso j’ai trouvé une faille encore plus grave , Facebook !
Moi aussi j’ai droit au téléphone ? 🤓

avatar DrStax | 

@Thegoldfinger

C'est sûr que si il faut faire un choix, Facebook est loin derrière.

avatar Godverdomme | 

C'est contre intuitif mais Google, siphonne les données mais est au top niveau sécurité, les deux étant indépendants...

avatar redchou | 

@Godverdomme
C’est surtout que Google ne veut surtout pas partager les données récupérées, c’est un peu leur fond de commerce... C’est ce qui leur permet de « cibler » efficacement leur publicité...

avatar bhelden | 

Sinon via le jailbreak on a accès à tout aussi 😬

avatar Maxmad68 | 

@bhelden

Exactement mais certains te diront que le « jailbreak est mort »...

avatar redchou | 

@bhelden
Je sais pas si on a accès à tout (aux meme outils) et avec autant de facilité...

avatar fernandn | 

J’ai trouvé une faille! On peut installer des apps!

avatar igaijin | 

Bientôt un scandale : perte du bouzin
Retrouvé dans un bar évidemment !

avatar Sindanarie | 

« Pour pouvoir utiliser l'iPhone SRD, […] et avoir déjà trouvé des failles de sécurité sur des plateformes d'Apple ou d'autres constructeurs. »

💭ouf... 🙏🏽 donc aucune chance que ce soit refilé aux brico-amateurs et autres prétentieuses qui peuplent cet endroit 😈😬

avatar redchou | 

@Sindanárië

Après extérieurement, je ne pense pas que ce soit un téléphone vraiment différent...
Donc pas d’effet, « moi, j’ai un iPhone SRD, okayyy » (lire avec la voix qui va bien)

avatar kafy28 | 

Moi aussi j’ai trouvé une faille. Elle n’arrête pas de regarder son écran ....
Ah! Pitain c’est moi quel con !!!
J’me suis fait peur tout seul.

avatar dodomu | 

@kafy28

😆

avatar noooty | 

"Ce modèle est proposé en France, en Belgique, en Suisse, au Canada aux États-Unis et dans une poignée de pays supplémentaires "
Dont la Chine et la Russie ?

avatar JustGeek | 

@noooty

Voilà la liste complète des pays :

Australia, Austria, Belgium, Canada, Czech Republic, Denmark, Finland, France, Germany, Hungary, Ireland, Italy, Japan, Luxembourg, Netherlands, Norway, Poland, Portugal, Spain, Sweden, Switzerland, United Kingdom, and United States

Donc ni Russie ni Chine

avatar Ginger bread | 

@JustGeek

Comme c’est étonnant

avatar Sanid35 | 

@Ginger bread

C’est pas ce qui va empecher les russes et chinois d’en acquérir je pense...

avatar fte | 

@JustGeek

"Donc ni Russie ni Chine"

Ni la Corée du Nord ou divers pays du Moyen Orient.

avatar Nesus | 

Très bonne chose. Apple commence à vraiment prendre la mesure de ce qu’il faut faire pour avoir un appareil sécurisé.
Nul doute que Cellebrite ne voit pas ça comme une bonne journée et que leurs « outils » a fortement participé de ce changement de politique.

avatar oboulot | 

@Nesus

Bonne remarque en effet mais célébrite utilise une faille zéro days il me semble ou backdoor.
Ce qui est dingue c’est comment on t’il pu y avoir accès , et surtout comment se fait il que ce soit ( probablement) les seuls

avatar Nesus | 

@oboulot

Personne n’a corrigé, je réponds donc tardivement. Non, ni backdoor qui n’existe pas, ni faille zéro d’au, puisqu’ils mettent régulièrement leurs outils à jour. Ils utilisent une variante du jailbreak et la security enclave leur pose quelques soucis, apparement. Ils arrivent à moins piocher dans les données.
Ils ont effectivement trouvé un lot de faille qui permet de siphonner un certain nombres de données. Le problème, c’est que personne ne sait réellement lesquelles, vu que les outils trouvé à la revente sont obsolètes et que leur pub est d’après le peu de source qui fuites, un peu exagérée.

avatar oboulot | 

@Nesus

Merci pour l’info très détaillée !

avatar Bigdidou | 

@Nesus

“ni faille zéro d’au”

Ah, la faille zéro d’O... Quelle histoire !

avatar tbr | 

Un iPhone « verbose »

CONNEXION UTILISATEUR