Une équipe de chercheurs en sécurité a passé trois mois à pirater Apple, a découvert un grand nombre de vulnérabilités dans l'infrastructure numérique de l'entreprise et a reçu des primes totalisant plus de 50000 dollars.




Le géant de la technologie de Cupertino maintient un programme de primes aux bogues qui rémunère les chercheurs en sécurité pour les vulnérabilités découvertes. Comme le notice le chercheur Sam Curry, il pensait auparavant qu'Apple ne payait que des primes pour des problèmes affectant des produits physiques comme l'iPhone.

Les chercheurs en sécurité ont passé des mois à pirater Apple

Mais, en juillet, Curry a remarqué que des primes étaient apparemment disponibles pour l'infrastructure Internet également. Selon la site du programme de bug bounty d'Apple, l'entreprise paie pour les vulnérabilités ayant un « impact significatif sur les utilisateurs ». Curry a ensuite recruté une équipe de collègues chercheurs en sécurité – Brett Buerhaus, Ben Sadeghipour, Samuel Erb et Tanner Barnes – et a commencé à examiner les systèmes d'Apple.




Après trois mois d'analyse des systèmes Apple et de exam de divers exploits, l'équipe a trouvé un whole de 55 vulnérabilités de gravité variable. Au moins 11 ont été classés comme critiques et 29 étaient d'une gravité élevée.

« Au cours de notre engagement, nous avons trouvé une variété de vulnérabilités dans des events essentielles de leur infrastructure qui auraient permis à un attaquant de compromettre complètement les applications des clients et des employés, de lancer un ver able de prendre automatiquement le contrôle du compte iCloud d'une victime, de récupérer le code source pour projets internes d'Apple, compromettre totalement un logiciel d'entrepôt de contrôle industriel utilisé par Apple, et reprendre les classes des employés d'Apple avec la capacité d'accéder aux outils de gestion et aux ressources sensibles.

L'équipe n'a pas été en mesure de divulguer en profondeur toutes les failles qu'elle a trouvées, mais Curry a fourni des posts pour certaines des vulnérabilités les as well as intéressantes. Les divulgations incluent un compromis complet avec le programme d'enseignants distingués d'Apple une attaque de script intersite qui pourrait permettre aux pirates de voler les données iCloud des utilisateurs par e-mail et une vulnérabilité qui a pu permettre aux attaquants de compromettre le système interne d'inventaire et d'entreposage d'Apple.

Tout au lengthy du processus, Curry a déclaré que le staff de sécurité des produits d'Apple était très réactif. Le délai moyen de traitement des rapports de sécurité critiques était d'environ quatre heures entre la soumission et la correction. En règle générale, les défauts ont été corrigés en un à deux jours ouvrables, certains d'entre eux en aussi peu que quatre à 6 heures.

Au 4 octobre, l'équipe a reçu quatre paiements de primes totalisant 51 500 $ pour certaines des vulnérabilités et s'attend à ce qu'Apple envoie le paiement pour des défauts encore moreover critiques.

Curry a déclaré qu'ils avaient obtenu la authorization de l'équipe de sécurité des produits d'Apple de publier des informations sur les vulnérabilités et « le font à leur discrétion ».

« Toutes les vulnérabilités révélées ici ont été corrigées et testées à nouveau. Veuillez ne pas divulguer d'informations kin à la sécurité d'Apple sans leur autorisation », observe Curry.

Les chercheurs en sécurité notent qu'ils sont entrés dans le projet à l'aveugle, vehicle les informations sur le programme de primes aux bogues d'Apple sont inégales. « Nous allions à peu près dans des [sic] territoire avec un investissement de temps si significant « , a écrit Curry.

« Apple a eu une expérience intéressante de travail avec des chercheurs en sécurité, mais il semble que leur programme de divulgation des vulnérabilités est un pas important dans la bonne direction pour travailler avec les pirates informatiques pour sécuriser les actifs et permettre aux personnes intéressées de trouver et de signaler les vulnérabilités », a écrit Curry.