Suivez-nous

Cybersécurité

Un chercheur rémunéré 100 000 dollars par Apple pour la découverte d’une nouvelle faille

Le chercheur Bhavuk Jain a découvert l’existence d’une nouvelle faille dans le dispositif « Connexion avec Apple ». La marque à la pomme l’a récompensé à hauteur de 100 000 dollars dans le cadre de son programme Bug Bounty.

Il y a

  

le

 
Apple T1
© Presse-citron.net

À la fin de l’année 2019, Apple a officiellement ouvert son programme bug bounty à tous les chercheurs en sécurité, après avoir annoncé son lancement il y a quatre ans. Celui-ci vise à récompenser les utilisateurs qui trouvent des failles de sécurité zero day —soit des vulnérabilités qui n’ont jamais été découvertes auparavant, et qui en informe la marque à la pomme. En fonction de la découverte, les récompenses peuvent atteindre plusieurs milliers de dollars.

100 000 dollars pour la découverte de cette faille

La dernière faille en date a été découverte par le chercheur Bhavuk Jain. En effet, l’homme a rapporté une vulnérabilité qui concernait le dispositif « Connexion avec Apple ». Il explique qu’une personne mal intentionnée était en mesure de falsifier un token afin de se connecter avec ce système sans qu’il n’y ait besoin de vérification. Cela pouvait concerner des applications tierces.

Sur son blog, le chercheur explique plus en détail : « Lorsque la signature de ces tokens a été vérifiée à l’aide de la clé publique d’Apple, ils se sont révélés valables. Cela signifie qu’un attaquant pourrait falsifier un JWT [JSON Web Token, NDLR] en y liant n’importe quel identifiant d’email et en accédant au compte de la victime ».

Bhavuk Jain ajoute : « L’impact de cette vulnérabilité était assez critique car elle aurait pu permettre une appropriation complète du compte. Beaucoup de développeurs ont intégré la connexion avec Apple, car elle est obligatoire pour les applications qui prennent en charge d’autres connexions sociales », à l’exemple de Spotify, Airbnb ou autres.

Toutefois, Apple a mené une enquête et cette vulnérabilité ne semble pas avoir été exploitée par des personnes malveillantes. Depuis, celle-ci a été corrigée par l’entreprise américaine.

De son côté, Bhavuk Jain a été récompensé à hauteur de 100 000 dollars pour avoir rapporté cette nouvelle faille, de quoi encourager les autres chercheurs à faire de même dans le futur. Les rémunérations de la marque à la pomme peuvent aller de 100 000 dollars à 1 million de dollars en fonction de leur importance.

Antivirus Bitdefender Plus
Par : Bitdefender
1 commentaire

1 Commentaire

  1. sophie

    6 juin 2020 at 20 h 55 min

    c est pas une fake news. COVID 19 fait maintenat parti des services google
    Pour Android, aller sur « parametres » puis « Google-Parametres Google » et voila:
    Services
    Notifications d´exposition au COVID-19

    Pour les iphones, c est dans « Health », vous trouverez les instructions sur internet

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *