Vous pensez pouvoir vous introduire dans un serveur Apple ? Si c’est le cas, vous pourriez gagner jusqu’à 1 million de dollars. La firme à la pomme a révélé un programme visant à tester la sécurité des serveurs qui joueront un rôle majeur dans son service Apple Intelligence.
Alors qu’Apple prépare le lancement officiel de son service d’intelligence artificielle cette semaine avec la mise à jour iOS18.1, la société se concentre sur la sécurité. Bien qu’une grande partie du traitement des requêtes d’Apple Intelligence s’effectuera sur l’appareil, certaines devront être traitées sur des serveurs. Connus collectivement sous le nom de Private Cloud Compute (PCC), ces serveurs Apple doivent être protégés contre tout type de cyberattaque ou de piratage.
Apple livre un guide complet
Après l’annonce d’Apple Intelligence, Apple a invité des experts à inspecter et vérifier la sécurité et la confidentialité de bout en bout des serveurs. L’entreprise a même donné à certains chercheurs accès à un Environnement de Recherche Virtuel et à d’autres ressources pour les aider à tester la sécurité de PCC. Pour aller encore plus loin, Apple ouvre la porte à tous ceux qui souhaitent tenter de pirater ses serveurs.
Les participants ont accès à un Guide de Sécurité du Cloud Privé Compute qui explique comment fonctionne PCC en mettant l’accent sur l’authentification des requêtes, l’inspection du logiciel exécuté dans les datacenters d’Apple et la conception de la confidentialité et de la sécurité de PCC pour résister à différents types de cyberattaques.
L’environnement de recherche virtuel (ERV) est également ouvert à tous les candidats à la prime. Exécuté sur un Mac, l’ERV permet d’inspecter les versions logicielles du PCC, de télécharger les fichiers de chaque version, de démarrer une version dans un environnement virtuel et de commencer à utiliser le logiciel du PCC pour l’étudier plus en détail. Apple a même publié le code source de certains composants clés de PCC, qui est accessible sur GitHub.
Découvrir des vulnérabilités dans trois domaines
Ce programme de primes aux bugs est conçu pour découvrir des vulnérabilités dans trois domaines principaux :
Divulgation accidentelle de données : vulnérabilités qui exposent des données en raison de défauts de configuration de PCC ou de problèmes de conception du système.
Compromission externe à partir de requêtes utilisateur : vulnérabilités qui permettent aux attaquants d’exploiter les requêtes utilisateur pour accéder à PCC sans autorisation.
Accès physique ou interne : vulnérabilités dans lesquelles l’accès aux interfaces internes de PCC permettent à quelqu’un de compromettre le système.
Le montant des primes
Voici les montants qu’Apple versera pour différents types de piratages et de découvertes :
- Divulgation accidentelle ou inattendue de données due à un problème de déploiement ou de configuration : 50 000 dollars ;
- Capacité d’exécuter du code non certifié : 100 000 dollars ;
- Accès aux données de requête d’un utilisateur ou à d’autres informations sensibles de l’utilisateur en dehors de la limite de confiance (la zone où le niveau de confiance change en raison de la nature sensible des données capturées) : 150 000 dollars ;
- Accès aux données de requête d’un utilisateur ou à des informations sensibles sur les requêtes de l’utilisateur en dehors de la limite de confiance : 250 000 dollars ;
- Exécution arbitraire de code sans la permission ou la connaissance de l’utilisateur avec des droits arbitraires : 1 000 000 dollars.
Apple promet de récompenser financièrement toute découverte d’un problème de sécurité ayant un impact significatif sur PCC, même s’il ne correspond pas à l’une des catégories.
« Nous espérons que vous plongerez plus profondément dans la conception de PCC avec notre guide de sécurité, que vous explorerez le code vous-même avec l’environnement de recherche virtuel et que vous signalerez tout problème que vous trouverez via Apple Security Bounty », explique Apple. « Nous pensons que Private Cloud Compute est l’architecture de sécurité la plus avancée jamais déployée pour le calcul d’IA en nuage à l’échelle, et nous sommes impatients de travailler avec la communauté des chercheurs pour renforcer la confiance dans le système et le rendre encore plus sûr et privé au fil du temps. »