Discussion :

[Stéphane le calme]

Apple va offrir une récompense de deux millions de dollars aux hackers qui réussiront à contourner le mode Lockdown d’iOS 16,
conçu pour protéger les personnes à haut risque de cyberattaques

Apple offrira une récompense de 2 millions de dollars, le montant de récompense le plus élevé de l'industrie, aux hackers qui réussiront à contourner le mode Lockdown d’iOS 16. Ce dernier est un mode de défense à l'intention des personnes à haut risque de cyberattaques (les dirigeants mondiaux, les célébrités, les lobbys, les journalistes, les activistes, etc.) qui leur permet de rester en communication tout en limitant le risque de se faire hacker. De ce fait, l’appareil bloquera par exemple toutes les pièces jointes et images des messages et en désactivera l’aperçu. Il en va de même pour les albums partagés dans Photos. En plus de bloquer les pièces jointes des messages, l’activation du Lockdown Mode interdira les aperçus de liens, les invitations et les appels Face Time d’expéditeurs inconnus. Le mode désactivera aussi certaines technologies de navigation Web par défaut, et il fermera également les connexions filaires aux ordinateurs ou autres accessoires.

Apple a officiellement lancé une nouvelle fonctionnalité appelée Lockdown mode (littéralement Mode de verrouillage) lors de l'édition 2022 de la WWDC, sa conférence dédiée aux développeurs qui s'est tenue cette année du 6 au 10 juin. Cette nouvelle fonctionnalité est fournie avec le système iOS 16, iPadOS 16 et macOS Ventura et est spécialement conçue pour contrer les cyberattaques.

L'objectif annoncé est de contrer l’augmentation massive des menaces des logiciels espions développés par des entreprises privées, ou des groupes parfois parrainés par des États, comme Pegasus. L’utilisateur pourra alors activer lui-même ce nouveau mode de verrouillage s’il suspecte une cybermenace.

« Le mode verrouillage est une capacité qui reflète notre engagement inébranlable à protéger les utilisateurs contre les attaques les plus rares et les plus sophistiquées », a déclaré Ivan Krstić, responsable de l'ingénierie et de l'architecture de sécurité chez Apple. « Alors que la grande majorité des utilisateurs ne seront jamais victimes de cyberattaques très ciblées, nous travaillerons sans relâche pour protéger le petit nombre d'utilisateurs qui le sont. Cela inclut de continuer à concevoir des défenses spécifiquement pour ces utilisateurs, ainsi que de soutenir les chercheurs et les organisations du monde entier qui effectuent un travail d'une importance cruciale pour exposer les entreprises mercenaires qui créent ces attaques numériques ».

Le mode verrouillage offre un niveau de sécurité extrême et facultatif pour les très rares utilisateurs qui, en raison de qui ils sont ou de ce qu'ils font, peuvent être personnellement ciblés par certaines des menaces numériques les plus sophistiquées, telles que celles du NSO Group et d'autres sociétés privées qui développement des logiciels espions mercenaires parrainés par l'État. L'activation du mode verrouillage dans iOS 16, iPadOS 16 et macOS Ventura renforce encore les défenses de l'appareil et limite strictement certaines fonctionnalités, réduisant considérablement la surface d'attaque qui pourrait potentiellement être exploitée par des logiciels espions mercenaires hautement ciblés.

Un logiciel espion pour téléphones portables appelé "Pegasus" a envahi plus de 50 pays à travers le monde. Selon les rapports, le nombre de personnes surveillées par ce logiciel malveillant pourrait atteindre 50 000. Une fois que "Pegasus" est déployé sur un téléphone portable, il peut extraire des messages texte, des photos, des e-mails, enregistrer des appels et allumer à distance le microphone et l'appareil photo du téléphone à l'insu de l'utilisateur. Cela constitue une grande menace pour la vie privée des utilisateurs. Pegasus est développé par la société israélienne de surveillance logicielle NSO pour espionner les personnes les plus influentes telles que les journalistes, les avocats et les politiciens. NSO Group a été poursuivi par Apple et placé sur une liste noire commerciale par des responsables américains.

L'histoire du meurtre de Jamal Khashoggi, chroniqueur de 59 ans pour le Washington Post, au consulat saoudien d'Istanbul en 2018 mérite d'être rappelée. Selon les analyses numériques américaines, les agences de renseignement des Émirats arabes unis ont installé le logiciel espion Pegasus sur le téléphone de la fiancée du journaliste des mois avant sa mort.

Au lancement, le mode verrouillage inclut les protections suivantes :

• Messages : la plupart des types de pièces jointes aux messages autres que les images sont bloqués. Certaines fonctionnalités, telles que les aperçus de liens, sont désactivées.
• Navigation Web : certaines technologies Web complexes, telles que la compilation JavaScript juste-à-temps (JIT), sont désactivées à moins que l'utilisateur n'exclue un site de confiance du mode de verrouillage.
• Services Apple : les invitations entrantes et les demandes de service, y compris les appels FaceTime, sont bloquées si l'utilisateur n'a pas déjà envoyé d'appel ou de demande à l'initiateur.
• Les connexions filaires avec un ordinateur ou un accessoire sont bloquées lorsque l'iPhone est verrouillé.
• Les profils de configuration ne peuvent pas être installés et l'appareil ne peut pas s'inscrire dans la gestion des appareils mobiles (MDM) lorsque le mode de verrouillage est activé.

La nouvelle fonctionnalité sera disponible pour des tests par les développeurs cet été, avec une sortie officielle prévue pour l'automne.

La récompense de 2 millions de dollars

Pour inviter les commentaires et la collaboration de la communauté des chercheurs en sécurité, Apple a également créé une nouvelle catégorie au sein du programme Apple Security Bounty pour récompenser les chercheurs qui trouvent des contournements du mode de verrouillage et aident à améliorer ses protections. Les primes sont doublées pour les découvertes éligibles en mode verrouillage, jusqu'à un maximum de 2 000 000 $ - le paiement de prime maximum le plus élevé de l'industrie.

Apple accorde également une subvention de 10 millions de dollars, en plus des dommages-intérêts accordés dans le cadre du procès intenté contre NSO Group, pour soutenir les organisations qui enquêtent, exposent et préviennent les cyberattaques hautement ciblées, y compris celles créées par des entreprises privées développant des logiciels espions mercenaires parrainés par l'État. La subvention sera versée au Fonds Dignité et Justice créé et conseillé par la Fondation Ford - une fondation privée dédiée à la promotion de l'équité dans le monde - et conçue pour mettre en commun des ressources philanthropiques pour faire progresser la justice sociale dans le monde. Le Dignity and Justice Fund est un projet financé par le New Venture Fund, un organisme de bienfaisance public 501(c)(3).

« Le commerce mondial des logiciels espions cible les défenseurs des droits humains, les journalistes et les dissidents ; il facilite la violence, renforce l'autoritarisme et soutient la répression politique », a déclaré Lori McGlinchey, directrice du programme Technologie et société de la Fondation Ford. « La Fondation Ford est fière de soutenir cette initiative extraordinaire visant à renforcer la recherche et le plaidoyer de la société civile pour résister aux logiciels espions mercenaires. Nous devons nous appuyer sur l'engagement d'Apple, et nous invitons les entreprises et les donateurs à rejoindre le Fonds Dignité et Justice et à apporter des ressources supplémentaires à cette lutte collective ».

Le Fonds Dignité et Justice prévoit d'accorder ses premières subventions à la fin de 2022 ou au début de 2023, en finançant initialement des approches pour aider à exposer les logiciels espions mercenaires et protéger les cibles potentielles qui incluent :

• Renforcer les capacités organisationnelles et accroître la coordination sur le terrain des groupes de recherche et de plaidoyer nouveaux et existants de la société civile sur la cybersécurité.
• Soutenir le développement de méthodes d'analyses numériques normalisées pour détecter et confirmer l'infiltration de logiciels espions qui répondent aux normes de preuve.
• Permettre à la société civile de s'associer plus efficacement aux fabricants d'appareils, aux développeurs de logiciels, aux entreprises de sécurité commerciales et à d'autres entreprises concernées pour identifier et traiter les vulnérabilités.
• Sensibiliser les investisseurs, les journalistes et les décideurs politiques à l'industrie mondiale des logiciels espions mercenaires.
• Renforcer la capacité des défenseurs des droits humains à identifier et répondre aux attaques de logiciels espions, y compris des audits de sécurité pour les organisations confrontées à des menaces accrues sur leurs réseaux.

« Il existe désormais des preuves indéniables issues des recherches du Citizen Lab et d'autres organisations que l'industrie de la surveillance mercenaire facilite la propagation des pratiques autoritaires et des violations massives des droits de l'homme dans le monde », a déclaré Ron Deibert, directeur du Citizen Lab, un groupe de recherche à l'Université de Toronto. « Je félicite Apple d'avoir créé cette subvention importante, qui enverra un message fort et aidera à nourrir les chercheurs indépendants et les organisations de défense des droits tenant les fournisseurs de logiciels espions mercenaires responsables des dommages qu'ils infligent à des personnes innocentes ».

Source : Apple

Et vous ?

Que pensez-vous des stratégies d'Apple en matière de cybersécurité ?
Son programme concernant les récompenses du mode verrouillage gagnerait-il à être étendu sur les autres plateformes disposant de ce mode (iPadOS 16 et macOS Ventura) ou le choix d'iOS 16 vous semble beaucoup plus pertinent pour le moment ?
Pour ou contre l'existence de sociétés comme NSO Group qui proposent aux forces de l'ordre l'accès aux téléphones de leurs cibles ? Pourquoi ?

[Jules34]

Dans dix ans quelqu'un se rendra compte que le truc à une back door pour la NSA

Plus la compagnie est grande, moins je crois leurs voeux pieux sur l'anonymat et la protection des utilisateurs, vu le fric qu'ils se font sur nos données, sur la pub, l'app store et le pay to win... Je ne vois pas comment ils se mettraient à respecter leurs utilisateurs...

[Invité]

Les personnes à "haut risque" ne devraient tout simplement pas utiliser de smartphone, à moins d'y installer une ROM libre et d'en avoir la totale maîtrise (ce qui exclue de facto tous les produits Apple).

[totozor]

Les personnes à "haut risque" ne devraient tout simplement pas utiliser de smartphone, à moins d'y installer une ROM libre et d'en avoir la totale maîtrise (ce qui exclue de facto tous les produits Apple).

C'est là qu'Apple gère sa communication à la perfection : on est tellement fort qu'on est pret à dépenser une montagne d'or si quelqu'un trouve une faille, c'est le preuve qu'il n'y en a pas.
Le principal c'est d'y croire

[marsupial]

Au cas où je trouverai un moyen de contourner, je le vends aux entreprises d'espionnage; je suis sûr et certain de me faire plus d'argent... mais peut être ont-elles déjà trouvé...

[totozor]

Au cas où je trouverai un moyen de contourner, je le vends aux entreprises d'espionnage; je suis sûr et certain de me faire plus d'argent... mais peut être ont-elles déjà trouvé...

Mais bien sûr que non, NSO Pegasus et consort préfèreront bien sûr dire publiquement à Apple qu'ils ont trouvé la back door avec un étrange panneau "NSA" au dessus pour gagner le 1/10 de ce qu'ils auraient gagné en se taisant.
N'ébranlez pas ma foi en l'honnêteté de la nature humaine

[Alex]

Apple offre jusqu'à 2 millions $ pour la découverte de logiciels espions de type Pegasus dans les iPhone, et pour les chaînes d'exploitation capables de mener des attaques « de niveau mercenaire ».

Apple a annoncé une expansion considérable de son programme Security Bounty, le qualifiant de « prochain chapitre majeur » dans ses efforts pour renforcer la confidentialité des utilisateurs et la sécurité de sa plateforme. Le programme remanié d'Apple offrira 2 millions de dollars pour les chaînes d'exploitation capables de mener des attaques de type « logiciels espions mercenaires », soit la récompense la plus élevée jamais confirmée dans le secteur de la cybersécurité.

Avec son programme Apple Security Bounty, Apple récompense les chercheurs qui trouvent des failles de sécurité de ces produits pour aider à améliorer ses protections. En 2022, Apple a, par exemple, offert une récompense de 2 millions de dollars, le montant de récompense le plus élevé de l'industrie, aux hackers qui auraient réussi à contourner le mode Lockdown d’iOS 16. En outre, Apple a accordé une subvention de 10 millions de dollars, en plus des dommages-intérêts accordés dans le cadre du procès intenté contre NSO Group, pour soutenir les organisations qui enquêtent, exposent et préviennent les cyberattaques hautement ciblées, y compris celles créées par des entreprises privées développant des logiciels espions mercenaires parrainés par l'État.

En effet, Meta, Apple et Google mènent depuis des années une guerre contre NSO Group et d'autres fournisseurs de logiciels espions opérant à partir d'Israël. En novembre 2024, de nouveaux documents judiciaires ont révélé que le fabricant israélien de logiciels espions NSO Group a infecté des centaines, voire des dizaines de milliers d'appareils avec son tristement célèbre logiciel espion Pegasus, à l'aide d'un programme d'exploitation de WhatsApp. Cependant, Apple avait annoncé qu'elle renonçait à la bataille juridique qui l'opposait depuis un an à NSO Group pour éviter d'avoir à divulguer les informations sur les menaces qu'elle a développées au fil des ans pour lutter contre Pegasus.

Récemment, Apple a annoncé une expansion considérable de son programme Security Bounty, le qualifiant de « prochain chapitre majeur » dans ses efforts pour renforcer la confidentialité des utilisateurs et la sécurité de sa plateforme. La société a déjà versé plus de 35 millions de dollars à 800 chercheurs et double désormais sa récompense maximale pour atteindre 2 millions de dollars, un montant inégalé dans le secteur, avec des récompenses dépassant 5 millions de dollars dans certaines catégories.

Le programme remanié d'Apple offrira 2 millions de dollars pour les chaînes d'exploitation capables de mener des attaques « de niveau espionnage mercenaire », soit la récompense la plus élevée jamais confirmée dans le secteur de la cybersécurité. La société affirme que son système de bonus peut plus que doubler ce montant, portant le total des récompenses à plus de 5 millions de dollars pour ceux qui identifient des vulnérabilités permettant de contourner le mode Lockdown ou présentes dans les logiciels bêta.

En outre, Apple augmente considérablement les récompenses dans d'autres domaines hautement prioritaires : le contournement complet de Gatekeeper est désormais récompensé par une prime de 100 000 dollars, tandis qu'un accès non autorisé à iCloud peut rapporter jusqu'à 1 million de dollars — bien qu'Apple précise qu'aucune exploitation réussie n'a été démontrée à ce jour dans ces deux catégories.

Le programme élargi couvrira désormais un éventail plus large de menaces. Apple ajoute de nouvelles catégories telles que les échappements de sandbox WebKit en un clic, qui peuvent rapporter jusqu'à 300 000 dollars, et les exploits de proximité sans fil qui ciblent toute interface radio, avec des récompenses pouvant atteindre 1 million de dollars. Ces mises à jour reflètent l'importance accordée par Apple au renforcement des défenses contre les attaques avancées à distance et sans clic.

Une nouveauté majeure est l'ajout de Target Flags, un système qui permet aux chercheurs de prouver objectivement l'exploitabilité des vulnérabilités, y compris l'exécution de code à distance et les contournements de Transparency, Consent, and Control (TCC). Les rapports soumis avec Target Flags seront éligibles à des récompenses accélérées, ce qui signifie que les résultats vérifiés pourront être payés avant même qu'Apple ne publie un correctif.

Au-delà des incitations financières, Apple lance une nouvelle initiative visant à soutenir les groupes de la société civile et les personnes vulnérables aux logiciels espions. La société fournira 1 000 iPhone 17, dotés de la fonction Memory Integrity Enforcement, sa protection de mémoire la plus puissante à ce jour, aux organisations qui viennent en aide aux utilisateurs à risque. Le programme Apple Security Bounty mis à jour entrera en vigueur en novembre 2025, date à laquelle Apple publiera la liste complète des nouveaux niveaux de récompense, des catégories élargies et des structures de bonus sur son site web Security Research.

Auparavant, Apple a affirmé que Pegasus, le logiciel espion de la société israélienne NSO Group, ne constituait pas une menace pour les iPhone. Mais une enquête détaillée d'Amnesty International et de l'association parisienne Forbidden Stories a révélé que même les iPhone peuvent être infectés par Pegasus. Le rapport de 2022 a indiqué que sur 37 téléphones infectés ou attaqués par Pegasus, tous sauf trois étaient des iPhone. Des vulnérabilités auraient été trouvées dans iMessage, WhatsApp et Photo, entre autres.

Voici l'annonce d'Apple :

Une évolution majeure du programme Apple Security Bounty, avec les récompenses les plus prestigieuses du secteur pour les recherches les plus avancées

Depuis le lancement du programme public Apple Security Bounty en 2020, nous sommes fiers d'avoir récompensé plus de 800 chercheurs en sécurité à hauteur de plus de 35 millions de dollars, plusieurs rapports individuels ayant rapporté 500 000 dollars de récompenses. Nous sommes reconnaissants à tous ceux qui ont soumis leurs recherches et ont travaillé en étroite collaboration avec nous pour aider à protéger nos utilisateurs.

Aujourd'hui, nous annonçons le prochain chapitre majeur du programme Apple Security Bounty, qui propose les récompenses les plus élevées du secteur, des catégories de recherche élargies et un système de signalement permettant aux chercheurs de démontrer objectivement les vulnérabilités et d'obtenir des récompenses accélérées.

1. Nous doublons notre récompense maximale à 2 millions de dollars pour les chaînes d'exploitation qui peuvent atteindre des objectifs similaires à ceux des attaques sophistiquées de logiciels espions mercenaires. Il s'agit d'un montant sans précédent dans le secteur et de la plus importante récompense offerte par un programme de prime à notre connaissance. De plus, notre système de bonus, qui offre des récompenses supplémentaires pour les contournements du mode Verrouillage et les vulnérabilités découvertes dans les logiciels bêta, peut plus que doubler cette récompense, avec un paiement maximal supérieur à 5 millions de dollars. Nous doublons ou augmentons également de manière significative les récompenses dans de nombreuses autres catégories afin d'encourager des recherches plus intensives. Cela comprend 100 000 dollars pour un contournement complet de Gatekeeper et 1 million de dollars pour un accès non autorisé à iCloud, car aucun exploit réussi n'a été démontré à ce jour dans ces deux catégories.
   
   
2. Nos catégories de primes s'élargissent pour couvrir encore plus de surfaces d'attaque. Nous récompensons notamment les échappements de sandbox WebKit en un clic avec jusqu'à 300 000 dollars, et les exploits de proximité sans fil sur n'importe quelle radio avec jusqu'à 1 million de dollars.
   
   
3. Nous introduisons les indicateurs cibles, un nouveau moyen pour les chercheurs de démontrer objectivement l'exploitabilité de certaines de nos principales catégories de primes, notamment l'exécution de code à distance et les contournements de transparence, consentement et contrôle (TCC), et d'aider à déterminer l'éligibilité à une prime spécifique. Les chercheurs qui soumettent des rapports avec des indicateurs cibles pourront bénéficier de primes accélérées, qui sont traitées immédiatement après réception et vérification de la recherche, avant même qu'un correctif ne soit disponible.

Ces mises à jour entreront en vigueur en novembre 2025. À cette date, nous publierons la liste complète des catégories nouvelles et élargies, des récompenses et des bonus sur le site Apple Security Research, ainsi que des instructions détaillées pour tirer parti des Target Flags, les directives mises à jour du programme, et bien plus encore.

Source : Apple

Et vous ?

Pensez-vous que ce programme est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

Pegasus : le logiciel espion aurait utilisé des exploits «sans clic» pour cibler des milliers d'iPhone. E. Macron, 14 ministres français et d'autres chefs d'État sur la liste des personnes ciblées

Apple offre une prime d'un million $ à toute personne capable de pirater son nouveau système d'IA, qui dispose d'un chiffrement de bout en bout et supprime immédiatement la demande une fois la tâche accomplie

Énervé par la façon dont Apple gère son programme Security Bounty, un chercheur publie trois vulnérabilités 0-day dans iOS 15 avec un code d'exploitation envoyé comme PoC

[Artemus24]

C'est bien de donner un os à ronger à ces hackers. Pendant ce temps là, ils ne vont pas s'attaquer à nos infrastructures pour réclamer une rançon.