La société de sécurité Corellium propose de payer des chercheurs en sécurité pour vérifier les allégations CSAM d’Apple, après que des inquiétudes aient été soulevées concernant à la fois la confidentialité et le potentiel d’utilisation abusive du système par des gouvernements répressifs.

La société dit qu’il existe un certain nombre de domaines dans lesquels des faiblesses pourraient exister, et elle aimerait que des chercheurs indépendants les recherchent…

Corellium offre des subventions de 5 000 $, ainsi que l’utilisation gratuite de sa plate-forme de virtualisation iOS pendant un an.

Pas plus tard que la semaine dernière, Apple a annoncé qu’elle commencerait à numériser les photos téléchargées sur le service iCloud d’Apple pour le matériel d’abus sexuels sur enfants (CSAM). Laissant de côté les débats sur les implications civiles et philosophiques de cette nouvelle fonctionnalité, Apple a fait plusieurs déclarations de confidentialité et de sécurité à propos de ce nouveau système.

Ces revendications couvrent des sujets aussi divers que la technologie de hachage d’image, la conception cryptographique moderne, l’analyse de code et la mécanique interne et la conception de la sécurité d’iOS lui-même. Des erreurs dans n’importe quel composant de cette conception globale pourraient être utilisées pour subvertir le système dans son ensemble et, par conséquent, violer les attentes en matière de confidentialité et de sécurité des utilisateurs d’iPhone.

Depuis cette annonce initiale, Apple a encouragé la communauté indépendante de la recherche en sécurité à valider et vérifier ses allégations de sécurité. Comme l’a déclaré Craig Federighi, vice-président directeur du génie logiciel d’Apple dans une interview au Wall Street Journal, « les chercheurs en sécurité sont constamment en mesure d’introspecter ce qui se passe dans les [phone] logiciel, donc si des changements étaient apportés qui devaient étendre la portée de cela d’une manière que nous nous étions engagés à ne pas faire, il y a une vérifiabilité, ils peuvent repérer ce qui se passe.

Nous applaudissons l’engagement d’Apple à se tenir responsable vis-à-vis des chercheurs tiers. Nous pensons que notre plateforme est particulièrement capable de soutenir les chercheurs dans cet effort. Nos appareils virtuels « jailbreakés » n’utilisent aucun exploit et s’appuient plutôt sur notre technologie d’hyperviseur unique. Cela nous permet de fournir des appareils virtuels enracinés pour une analyse de sécurité dynamique presque dès la sortie d’une nouvelle version d’iOS. De plus, notre plate-forme fournit des outils et des capacités qui ne sont pas facilement disponibles avec les appareils physiques.