Apple offre une prime d’un million $ toute personne capable de pirater son nouveau systme d’IA Qui dispose d’un chiffrement de bout en bout et supprime immdiatement la demande une fois la tche accomplie

Les "passkeys" d'Apple pourraient enfin mettre un terme aux mots de passe pour de bon Apple a fait la dmonstration de sa nouvelle norme de connexion biomtrique l'occasion de la WWDC



Apple largit l’Apple Security Bounty pour son Private Cloud Compute. Dans ce nouveau programme, Apple est prt offrir jusqu’ 1 million de dollars de prime toute personne capable de pirater son nouveau systme d’IA, Apple Intelligence. Dans le cadre de cette recherche, Apple offre un guide de scurit, un environnement de recherche virtuel, ainsi que l’accs aux codes sources de certains composants.

En juillet 2024, Apple a lanc quelques fonctionnalits d’IA dans la version bta dveloppeur d’iOS 18.1 : des outils d’criture, comme la possibilit de rcrire, de relire ou de rsumer un texte dans tout le systme d’exploitation en premire partie, et des amliorations de Siri. Puis en octobre, avec le lancement de l’iPad mini, Apple a confirm les nouvelles fonctions d’IA qu’Apple Intelligence apportera.

Apple est confiant sur la scurit de l’Apple Intelligence, tel point que le gant de la technologie a offert une prime d’un million de dollars quiconque parviendrait la pirater. La socit a annonc le 24 octobre qu’elle invitait « tous les chercheurs en scurit – ou toute personne intresse et techniquement curieuse » effectuer « leur propre vrification indpendante de nos affirmations« .

Le public est donc mis au dfi de tester la scurit du « Private Cloud Compute« , les serveurs qui recevront et traiteront les demandes des utilisateurs pour l’Apple Intelligence lorsque la tche d’IA est trop complexe pour tre traite sur l’appareil. Selon Apple, ce systme est dot d’un chiffrement de bout en bout et supprime immdiatement la demande de l’utilisateur une fois la tche accomplie.

Diffrents paiements sont prvus pour certaines dcouvertes, mais le million de dollars est attribu toute personne capable d’excuter un code sur le systme sans tre dtecte et d’accder des parties sensibles. Apple Intelligence est un systme d’intelligence artificielle intgr qui sera intgr l’iPhone 16, 15 Pro et 15 Pro Max dans le courant du mois de novembre 2024. Ce produit aliment par l’IA a t dvoil en septembre, rvlant de nouvelles fonctionnalits pour le tri des messages, l’criture gnrative et la cration d’emojis uniques. Mais seuls les dtenteurs des smartphones haut de gamme iPhone 15 et du nouvel iPhone 16 auront accs cette plateforme trs attendue.

Tim Cook, le PDG d’Apple, a dclar qu’il s’agissait d’un « nouveau chapitre de l’innovation Apple« . « Cela signifie pour vous, en tant que client, que vous pouvez vous attendre ce que l’IA soit davantage intgre vos applications et appareils partir de maintenant. » Apple Intelligence se concentre principalement sur les modles d’IA dits « gnratifs« , qui permettent aux utilisateurs de crer du texte ou des images partir d’invites.

Apple veut s’assurer que le systme est scuris

« Pour encourager davantage vos recherches sur Private Cloud Compute, nous largissons Apple Security Bounty pour inclure des rcompenses pour les vulnrabilits qui dmontrent une compromission des garanties fondamentales de scurit et de confidentialit de PCC« , a partag l’entreprise dans l’annonce. Jusqu’ prsent, Apple n’autorisait que les auditeurs tiers pntrer dans son Private Cloud Compute, mais dsormais, tout le monde peut s’y essayer.

Les personnes qui relvent le dfi ont galement accs un guide de scurit et un environnement virtuel, qui permettent d’analyser Private Cloud Compute l’intrieur de macOS Sequoia 15.1 developer preview. Cela signifie que les participants auront besoin d’un Mac dot d’une puce de srie M et d’au moins 16 Go de RAM pour y accder.

Apple versera 100 000 dollars toute personne capable d’excuter du code « non attest« , c’est–dire des requtes de code non vrifies par l’entreprise. Quiconque parviendra accder aux donnes de requte d’un utilisateur ou d’autres informations sensibles le concernant en dehors de la « limite de confiance » (une limite o les donnes ou l’excution d’un programme changent de niveau de « confiance« ) pourra gagner jusqu’ 250 000 dollars.

Et si quelqu’un parvient « accder aux donnes de requte d’un utilisateur ou d’autres informations sensibles concernant l’utilisateur en dehors de la limite de confiance« , il recevra 150 000 dollars. Une rcompense de 50 000 dollars est prvue si quelqu’un parvient pirater le systme pour exposer des donnes de manire accidentelle ou inattendue.

« Nous pensons que Private Cloud Compute est l’architecture de scurit la plus avance jamais dploye pour le calcul d’IA dans le cloud l’chelle, et nous sommes impatients de travailler avec la communaut des chercheurs pour renforcer la confiance dans le systme et le rendre encore plus sr et priv au fil du temps« , a dclar Apple.

La plupart des utilisateurs d’iOS devront attendre pour bnficier d’Apple Intelligence. Mais il y aura une liste d’attente ds le lancement en raison de la forte demande potentielle.

La version de lancement d’Apple Intelligence comprendra des outils d’criture pour la relecture et la rcriture, des rponses intelligentes qui rpondent rapidement aux messages, des rsums de notifications, le nettoyage des photos, une premire refonte de Siri, et bien d’autres choses encore. Mais certaines fonctionnalits, notamment Genmoji, Image Playground, l’intgration de ChatGPT et Visual Intelligence, devraient arriver dans le cadre d’iOS 18.2, qui devrait entrer en phase bta d’ici un mois environ.

D’autres arriveront encore plus tard. Siri, par exemple, ne sera pas disponible avant 2025. En outre, la version de novembre n’est compatible qu’avec l’anglais amricain, ce qui signifie que les pays autres que les tats-Unis devront attendre dcembre pour pouvoir utiliser Apple Intelligence dans leur langue.

Recherche de scurit sur Private Cloud Compute

Voici l’annonce d’Apple concernant Private Cloud Compute :

Private Cloud Compute (PCC) rpond aux demandes de calcul intensif pour Apple Intelligence tout en offrant des protections rvolutionnaires en matire de confidentialit et de scurit – en transposant dans le cloud notre modle de scurit des appareils la pointe de l’industrie. Dans notre prcdent billet prsentant Private Cloud Compute, nous expliquions que pour renforcer la confiance du public dans le systme, nous prendrions une mesure extraordinaire en permettant aux chercheurs en scurit et en protection de la vie prive d’inspecter et de vrifier les promesses de scurit et de protection de la vie prive de bout en bout de PCC. Dans les semaines qui ont suivi l’annonce d’Apple Intelligence et de PCC, nous avons fourni des auditeurs tiers et des chercheurs en scurit tris sur le volet un accs anticip aux ressources que nous avons cres pour permettre cette inspection, notamment l’environnement de recherche virtuel (ERV) de PCC.

Aujourd’hui, nous mettons ces ressources la disposition du public afin d’inviter tous les chercheurs en scurit et en protection de la vie prive – ou toute personne intresse et techniquement curieuse – en apprendre davantage sur la PCC et effectuer leur propre vrification indpendante de nos affirmations. Nous sommes heureux d’annoncer que nous tendons le programme Apple Security Bounty la PCC, avec des rcompenses significatives pour les signalements de problmes lis nos affirmations en matire de scurit ou de respect de la vie prive.

Voici les outils qu’Apple offre pour cette recherche :

  • Pour comprendre l’architecture de PCC, Apple a publi le Private Cloud Compute Security Guide. Ce guide comprend des dtails techniques sur les composants de PCC et sur la faon dont ils fonctionnent ensemble pour offrir un niveau de confidentialit pour le traitement de l’IA dans le cloud. Le guide aborde des sujets tels que : la manire dont les attestations PCC reposent sur une base immuable de fonctionnalits mises en uvre dans le matriel ; la manire dont les demandes PCC sont authentifies et achemines pour ne pas tre cibles ; la manire dont Apple garantit techniquement cette recherche dans les centres de donnes ; et la manire dont les proprits de confidentialit et de scurit de PCC rsistent divers scnarios d’attaque.
  • Apple a galement cr un environnement de recherche virtuel (ERV) pour une plateforme Apple. L’ERV est un ensemble d’outils qui permet d’effectuer votre propre analyse de scurit de Private Cloud Compute directement depuis votre Mac. Cet environnement permettrait d’aller bien au-del de la simple comprhension des caractristiques de scurit de la plateforme. « Vous pouvez confirmer que Private Cloud Compute prserve effectivement la vie prive des utilisateurs de la manire que nous dcrivons« , selon Apple.

    L’ERV excuterait le logiciel du nud PCC dans une machine virtuelle avec seulement quelques modifications mineures. Le logiciel de l’espace utilisateur fonctionne de la mme manire que le nud PCC, le processus de dmarrage et le noyau tant adapts la virtualisation. L’ERV comprend un processeur virtuel Secure Enclave (SEP), ce qui permet d’effectuer des recherches sur la scurit dans ce composant. Il utilise galement le support macOS intgr pour les graphiques paravirtualiss afin de permettre l’infrence.

    Ainsi, vous pourrez utiliser les outils de l’ERV pour :

    • lister et inspecter les versions logicielles de la PCC
    • Vrifier la cohrence du journal de transparence
    • Tlcharger les binaires correspondant chaque version
    • Dmarrer une version dans un environnement virtualis
    • Effectuer des dductions partir de modles de dmonstration
    • Modifier et dboguer le logiciel PCC pour permettre une investigation plus approfondie.


    L’ERV est disponible dans la dernire version de macOS Sequoia 15.1 Developer Preview et ncessite un Mac avec du silicium Apple et au moins 16 Go de mmoire unifie.

  • Apple met galement disposition le code source de certains composants cls de PCC qui contribuent la mise en uvre de ses exigences en matire de scurit et de confidentialit. Cette source est fournie dans le cadre d’un accord de licence usage limit pour permettre d’effectuer des analyses plus approfondies de PCC.

    Voici les projets pour lesquels Apple publie le code source :

    • Le projet CloudAttestation, qui est responsable de la construction et de la validation des attestations du nud PCC.
    • Le projet Thimble, qui comprend le daemon privatecloudcomputed qui s’excute sur l’appareil d’un utilisateur et utilise CloudAttestation pour renforcer la transparence vrifiable.
    • Le daemon splunkloggingd, qui filtre les journaux pouvant tre mis par un nud PCC afin de se protger contre la divulgation accidentelle de donnes.
    • Le projet srd_tools, qui contient l’outillage de l’ERV et que vous pouvez utiliser pour comprendre comment l’ERV permet d’excuter le code PCC.


    Le code source de la PCC est disponible dans le projet apple/security-pcc sur GitHub.

Concernant le programme Apple Security Bounty pour Private Cloud Compute, voici l’annonce d’Apple :

Afin d’encourager davantage vos recherches sur le Private Cloud Compute, nous largissons l’Apple Security Bounty pour inclure des rcompenses pour les vulnrabilits qui dmontrent une compromission des garanties fondamentales de scurit et de confidentialit de PCC.

Nos nouvelles catgories de primes PCC sont alignes sur les menaces les plus critiques que nous dcrivons dans le Guide de scurit :

  • Divulgation accidentelle de donnes: vulnrabilits conduisant l’exposition involontaire de donnes en raison de dfauts de configuration ou de problmes de conception du systme.
  • Compromission externe partir de demandes d’utilisateurs: vulnrabilits permettant des acteurs externes d’exploiter des demandes d’utilisateurs pour obtenir un accs non autoris la PCC.
  • Accs physique ou interne: vulnrabilits o l’accs aux interfaces internes permet de compromettre le systme.

tant donn que PCC tend la scurit et la confidentialit de pointe des appareils Apple dans le cloud, les rcompenses que nous offrons sont comparables celles d’iOS. Nous accordons les montants maximums pour les vulnrabilits qui compromettent les donnes des utilisateurs et les donnes des requtes d’infrence en dehors de la limite de confiance de PCC.

Parce que nous sommes profondment proccups par toute compromission de la vie prive ou de la scurit des utilisateurs, nous prendrons en considration tout problme de scurit ayant un impact significatif sur la PCC pour une rcompense Apple Security Bounty, mme s’il ne correspond pas une catgorie publie. Nous valuerons chaque rapport en fonction de la qualit de ce qui est prsent, de la preuve de ce qui peut tre exploit et de l’impact sur les utilisateurs.

Conclusion

Cette nouvelle annonce confirme les propos de Tim Cook. Une analyse interne avait suggr qu’Apple a potentiellement deux ans de retard sur le reste de l’industrie de l’IA. Tim Cook a admis qu’Apple n’est pas le premier ni parmi la premire horde d’entreprises engages dans la course l’IA. Toutefois, il est convaincu qu’Apple deviendra le leader en matire d’IA et proposera terme la meilleure exprience possible de la technologie. Pour atteindre cet objectif, Apple compte sur son nouvel ensemble de fonctionnalits « Apple Intelligence » qui serait lanc le 28 octobre 2024.

Lors de l’annonce de l’Apple Security Bounty pour le Private Cloud Compute, Apple conclut :

Nous avons conu Private Cloud Compute dans le cadre d’Apple Intelligence pour faire un pas en avant extraordinaire en matire de confidentialit dans l’IA. Il s’agit notamment d’offrir une transparence vrifiable, une proprit unique qui le distingue des autres approches d’IA bases sur des serveurs. S’appuyant sur notre exprience avec l’Apple Security Research Device Program, l’outil et la documentation que nous avons publis aujourd’hui facilitent plus que jamais l’tude et la vrification des fonctions essentielles de scurit et de confidentialit de PCC. Nous esprons que vous approfondirez la conception de PCC grce notre guide de scurit, que vous explorerez vous-mme le code grce l’environnement de recherche virtuel et que vous signalerez les problmes que vous aurez dcouverts par le biais d’Apple Security Bounty. Nous pensons que Private Cloud Compute est l’architecture de scurit la plus avance jamais dploye pour le calcul d’IA dans le cloud l’chelle, et nous sommes impatients de travailler avec la communaut des chercheurs pour renforcer la confiance dans le systme et le rendre encore plus sr et priv au fil du temps.

Source : Apple

Et vous ?

Pensez-vous que cette annonce est crdible ou pertinente ?

Quel est votre avis sur le sujet ?

Voir aussi :

Apple aurait dvelopp une technique qui permet d’excuter les modles d’IA localement sur l’iPhone plutt que sur le cloud, selon une tude

Mme Apple ne peut expliquer pourquoi nous avons besoin de l’IA dans nos vies. Certaines des nouvelles fonctionnalits d’Apple Intelligence n’ont mme pas l’air d’tre de l’IA

Rapport scientifique international sur la scurit de l’intelligence artificielle avance : Un rapport actualis et fond sur des donnes probantes concernant la scurit de l’IA avance



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.