Maintenant qu'Apple a lâché la grappe à Corellium en abandonnant sa plainte, l'entreprise spécialisée dans la virtualisation d'iOS dans le nuage lance un programme de chasse aux failles ouvert à tous. L'Open Security Initiative propose aux amateurs de soumettre leurs projets de recherche pour valider les fonctions de sécurité et de respect de la confidentialité de tous les fournisseurs de logiciels mobiles : système d'exploitation ou applications tierces.
iOS et Android sont donc compris, mais aussi n'importe quelle app. Il est possible de soumettre ces projets jusqu'au 15 octobre, les gagnants seront connus le 31 du même mois. Corellium promet jusqu'à trois récompenses de 5 000 $ pour autant de projets acceptés, ainsi qu'un accès gratuit à sa plateforme pendant un an.
Corellium commercialise des machines virtuelles sous iOS « jailbreakées », générées par une technologie d'hyperviseur maison. L'analyse du code du système d'exploitation est donc beaucoup plus simple pour les chercheurs. C'est l'équivalent, mais dans le nuage, des iPhone Security Research Device (SRD) qu'Apple fournit depuis la fin de l'année dernière à des spécialistes de la sécurité triés sur le volet.
Des chercheurs en sécurité pas fans de l'iPhone SRD
Ironiquement, ou peut-être pas, l'entreprise explique avoir été inspirée par le discours de Craig Federighi de la fin de la semaine dernière. En substance, le vice-président à l'ingénierie logicielle expliquait que ces fameux chercheurs avaient la possibilité de fouiller dans le code d'iOS pour vérifier si Apple respectait bien ses engagements.
Une déclaration un peu étonnante, sachant qu'aucun programme visant à soulever le capot de la boîte noire d'iOS n'avait été dévoilé. À moins que Federighi évoquait le propre bug bounty d'Apple, celui-là même qui renâcle à payer les découvreurs de vulnérabilités.
Craig Federighi reconnait qu'Apple a très mal communiqué sur les mesures de lutte contre la pédopornographie
