Apple élargit l'Apple Security Bounty pour son Private Cloud Compute. Dans ce nouveau programme, Apple est prêt à offrir jusqu'à 1 million de dollars de prime à toute personne capable de pirater son nouveau système d'IA, Apple Intelligence. Dans le cadre de cette recherche, Apple offre un guide de sécurité, un environnement de recherche virtuel, ainsi que l'accès aux codes sources de certains composants.En juillet 2024, Apple a lancé quelques fonctionnalités d'IA dans la version bêta développeur d'iOS 18.1 : des outils d'écriture, comme la possibilité de réécrire, de relire ou de résumer un texte dans tout le système d'exploitation en première partie, et des améliorations de Siri. Puis en octobre, avec le lancement de l'iPad mini, Apple a confirmé les nouvelles fonctions d'IA qu'Apple Intelligence apportera.
Apple est confiant sur la sécurité de l'Apple Intelligence, à tel point que le géant de la technologie a offert une prime d'un million de dollars à quiconque parviendrait à la pirater. La société a annoncé le 24 octobre qu'elle invitait "tous les chercheurs en sécurité - ou toute personne intéressée et techniquement curieuse" à effectuer "leur propre vérification indépendante de nos affirmations".
Le public est donc mis au défi de tester la sécurité du "Private Cloud Compute", les serveurs qui recevront et traiteront les demandes des utilisateurs pour l'Apple Intelligence lorsque la tâche d'IA est trop complexe pour être traitée sur l'appareil. Selon Apple, ce système est doté d'un chiffrement de bout en bout et supprime immédiatement la demande de l'utilisateur une fois la tâche accomplie.
Différents paiements sont prévus pour certaines découvertes, mais le million de dollars est attribué à toute personne capable d'exécuter un code sur le système sans être détectée et d'accéder à des parties sensibles. Apple Intelligence est un système d'intelligence artificielle intégré qui sera intégré à l'iPhone 16, 15 Pro et 15 Pro Max dans le courant du mois de novembre 2024. Ce produit alimenté par l'IA a été dévoilé en septembre, révélant de nouvelles fonctionnalités pour le tri des messages, l'écriture générative et la création d'emojis uniques. Mais seuls les détenteurs des smartphones haut de gamme iPhone 15 et du nouvel iPhone 16 auront accès à cette plateforme très attendue.
Tim Cook, le PDG d'Apple, a déclaré qu'il s'agissait d'un "nouveau chapitre de l'innovation Apple". "Cela signifie pour vous, en tant que client, que vous pouvez vous attendre à ce que l'IA soit davantage intégrée à vos applications et appareils à partir de maintenant." Apple Intelligence se concentre principalement sur les modèles d'IA dits "génératifs", qui permettent aux utilisateurs de créer du texte ou des images à partir d'invites.
Apple veut s'assurer que le système est sécurisé
"Pour encourager davantage vos recherches sur Private Cloud Compute, nous élargissons Apple Security Bounty pour inclure des récompenses pour les vulnérabilités qui démontrent une compromission des garanties fondamentales de sécurité et de confidentialité de PCC", a partagé l'entreprise dans l'annonce. Jusqu'à présent, Apple n'autorisait que les auditeurs tiers à pénétrer dans son Private Cloud Compute, mais désormais, tout le monde peut s'y essayer.
Les personnes qui relèvent le défi ont également accès à un guide de sécurité et à un environnement virtuel, qui permettent d'analyser Private Cloud Compute à l'intérieur de macOS Sequoia 15.1 developer preview. Cela signifie que les participants auront besoin d'un Mac doté d'une puce de série M et d'au moins 16 Go de RAM pour y accéder.
Apple versera 100 000 dollars à toute personne capable d'exécuter du code "non attesté", c'est-à-dire des requêtes de code non vérifiées par l'entreprise. Quiconque parviendra à accéder aux données de requête d'un utilisateur ou à d'autres informations sensibles le concernant en dehors de la "limite de confiance" (une limite où les données ou l'exécution d'un programme changent de niveau de "confiance") pourra gagner jusqu'à 250 000 dollars.
Et si quelqu'un parvient à "accéder aux données de requête d'un utilisateur ou à d'autres informations sensibles concernant l'utilisateur en dehors de la limite de confiance", il recevra 150 000 dollars. Une récompense de 50 000 dollars est prévue si quelqu'un parvient à pirater le système pour exposer des données de manière accidentelle ou inattendue.
"Nous pensons que Private Cloud Compute est l'architecture de sécurité la plus avancée jamais déployée pour le calcul d'IA dans le cloud à l'échelle, et nous sommes impatients de travailler avec la communauté des chercheurs pour renforcer la confiance dans le système et le rendre encore plus sûr et privé au fil du temps", a déclaré Apple.
La plupart des utilisateurs d'iOS devront attendre pour bénéficier d'Apple Intelligence. Mais il y aura une liste d'attente dès le lancement en raison de la forte demande potentielle.
La version de lancement d'Apple Intelligence comprendra des outils d'écriture pour la relecture et la réécriture, des réponses intelligentes qui répondent rapidement aux messages, des résumés de notifications, le nettoyage des photos, une première refonte de Siri, et bien d'autres choses encore. Mais certaines fonctionnalités, notamment Genmoji, Image Playground, l'intégration de ChatGPT et Visual Intelligence, devraient arriver dans le cadre d'iOS 18.2, qui devrait entrer en phase bêta d'ici un mois environ.
D'autres arriveront encore plus tard. Siri, par exemple, ne sera pas disponible avant 2025. En outre, la version de novembre n'est compatible qu'avec l'anglais américain, ce qui signifie que les pays autres que les États-Unis devront attendre décembre pour pouvoir utiliser Apple Intelligence dans leur langue.
Recherche de sécurité sur Private Cloud Compute
Voici l'annonce d'Apple concernant Private Cloud Compute :
Private Cloud Compute (PCC) répond aux demandes de calcul intensif pour Apple Intelligence tout en offrant des protections révolutionnaires en matière de confidentialité et de sécurité - en transposant dans le cloud notre modèle de sécurité des appareils à la pointe de l'industrie. Dans notre précédent billet présentant Private Cloud Compute, nous expliquions que pour renforcer la confiance du public dans le système, nous prendrions une mesure extraordinaire en permettant aux chercheurs en sécurité et en protection de la vie privée d'inspecter et de vérifier les promesses de sécurité et de protection de la vie privée de bout en bout de PCC. Dans les semaines qui ont suivi l'annonce d'Apple Intelligence et de PCC, nous avons fourni à des auditeurs tiers et à des chercheurs en sécurité triés sur le volet un accès anticipé aux ressources que nous avons créées pour permettre cette inspection, notamment l'environnement de recherche virtuel (ERV) de PCC.
Aujourd'hui, nous mettons ces ressources à la disposition du public afin d'inviter tous les chercheurs en sécurité et en protection de la vie privée - ou toute personne intéressée et techniquement curieuse - à en apprendre davantage sur la PCC et à effectuer leur propre vérification indépendante de nos affirmations. Nous sommes heureux d'annoncer que nous étendons le programme Apple Security Bounty à la PCC, avec des récompenses significatives pour les signalements de problèmes liés à nos affirmations en matière de sécurité ou de respect de la vie privée.
Aujourd'hui, nous mettons ces ressources à la disposition du public afin d'inviter tous les chercheurs en sécurité et en protection de la vie privée - ou toute personne intéressée et techniquement curieuse - à en apprendre davantage sur la PCC et à effectuer leur propre vérification indépendante de nos affirmations. Nous sommes heureux d'annoncer que nous étendons le programme Apple Security Bounty à la PCC, avec des récompenses significatives pour les signalements de problèmes liés à nos affirmations en matière de sécurité ou de respect de la vie privée.
- Pour comprendre l'architecture de PCC, Apple a publié le Private Cloud Compute Security Guide. Ce guide comprend des détails techniques sur les composants de PCC et sur la façon dont ils fonctionnent ensemble pour offrir un niveau de confidentialité pour le traitement de l'IA dans le cloud. Le guide aborde des sujets tels que : la manière dont les attestations PCC reposent sur une base immuable de fonctionnalités mises en œuvre dans le matériel ; la manière dont les demandes PCC sont authentifiées et acheminées pour ne pas être ciblées ; la manière dont Apple garantit techniquement cette recherche dans les centres de données ; et la manière dont les propriétés de confidentialité et de sécurité de PCC résistent à divers scénarios d'attaque.
- Apple a également créé un environnement de recherche virtuel (ERV) pour une plateforme Apple. L'ERV est un ensemble d'outils qui permet d'effectuer votre propre analyse de sécurité de Private Cloud Compute directement depuis votre Mac. Cet environnement permettrait d'aller bien au-delà de la simple compréhension des caractéristiques de sécurité de la plateforme. "Vous pouvez confirmer que Private Cloud Compute préserve effectivement la vie privée des utilisateurs de la manière que nous décrivons", selon Apple.
L'ERV exécuterait le logiciel du nœud PCC dans une machine virtuelle avec seulement quelques modifications mineures. Le logiciel de l'espace utilisateur fonctionne de la même manière que le nœud PCC, le processus de démarrage et le noyau étant adaptés à la virtualisation. L'ERV comprend un processeur virtuel Secure Enclave (SEP), ce qui permet d'effectuer des recherches sur la sécurité dans ce composant. Il utilise également le support macOS intégré pour les graphiques paravirtualisés afin de permettre l'inférence.
Ainsi, vous pourrez utiliser les outils de l'ERV pour :
- lister et inspecter les versions logicielles de la PCC
- Vérifier la cohérence du journal de transparence
- Télécharger les binaires correspondant à chaque version
- Démarrer une version dans un environnement virtualisé
- Effectuer des déductions à partir de modèles de démonstration
- Modifier et déboguer le logiciel PCC pour permettre une investigation plus approfondie.
L'ERV est disponible dans la dernière version de macOS Sequoia 15.1 Developer Preview et nécessite un Mac avec du silicium Apple et au moins 16 Go de mémoire unifiée. - Apple met également à disposition le code source de certains composants clés de PCC qui contribuent à la mise en œuvre de ses exigences en matière de sécurité et de confidentialité. Cette source est fournie dans le cadre d'un accord de licence à usage limité pour permettre d'effectuer des analyses plus approfondies de PCC.
Voici les projets pour lesquels Apple publie le code source :- Le projet CloudAttestation, qui est responsable de la construction et de la validation des attestations du nœud PCC.
- Le projet Thimble, qui comprend le daemon privatecloudcomputed qui s'exécute sur l'appareil d'un utilisateur et utilise CloudAttestation pour renforcer la transparence vérifiable.
- Le daemon splunkloggingd, qui filtre les journaux pouvant être émis par un nœud PCC afin de se protéger contre la divulgation accidentelle de données.
- Le projet srd_tools, qui contient l'outillage de l'ERV et que vous pouvez utiliser pour comprendre comment l'ERV permet d'exécuter le code PCC.
Le code source de la PCC est disponible dans le projet apple/security-pcc sur GitHub.
Concernant le programme Apple Security Bounty pour Private Cloud Compute, voici l'annonce d'Apple :
Afin d'encourager davantage vos recherches sur le Private Cloud Compute, nous élargissons l'Apple Security Bounty pour inclure des récompenses pour les vulnérabilités qui démontrent une compromission des garanties fondamentales de sécurité et de confidentialité de PCC.
Nos nouvelles catégories de primes PCC sont alignées sur les menaces les plus critiques que nous décrivons dans le Guide de sécurité :
Étant donné que PCC étend la sécurité et la confidentialité de pointe des appareils Apple dans le cloud, les récompenses que nous offrons sont comparables à celles d'iOS. Nous accordons les montants maximums pour les vulnérabilités qui compromettent les données des utilisateurs et les données des requêtes d'inférence en dehors de la limite de confiance de PCC.
Parce que nous sommes profondément préoccupés par toute compromission de la vie privée ou de la sécurité des utilisateurs, nous prendrons en considération tout problème de sécurité ayant un impact significatif sur la PCC pour une récompense Apple Security Bounty, même s'il ne correspond pas à une catégorie publiée. Nous évaluerons chaque rapport en fonction de la qualité de ce qui est présenté, de la preuve de ce qui peut être exploité et de l'impact sur les utilisateurs.
Nos nouvelles catégories de primes PCC sont alignées sur les menaces les plus critiques que nous décrivons dans le Guide de sécurité :
- Divulgation accidentelle de données: vulnérabilités conduisant à l'exposition involontaire de données en raison de défauts de configuration ou de problèmes de conception du système.
- Compromission externe à partir de demandes d'utilisateurs: vulnérabilités permettant à des acteurs externes d'exploiter des demandes d'utilisateurs pour obtenir un accès non autorisé à la PCC.
- Accès physique ou interne: vulnérabilités où l'accès aux interfaces internes permet de compromettre le système.
Étant donné que PCC étend la sécurité et la confidentialité de pointe des appareils Apple dans le cloud, les récompenses que nous offrons sont comparables à celles d'iOS. Nous accordons les montants maximums pour les vulnérabilités qui compromettent les données des utilisateurs et les données des requêtes d'inférence en dehors de la limite de confiance de PCC.
Parce que nous sommes profondément préoccupés par toute compromission de la vie privée ou de la sécurité des utilisateurs, nous prendrons en considération tout problème de sécurité ayant un impact significatif sur la PCC pour une récompense Apple Security Bounty, même s'il ne correspond pas à une catégorie publiée. Nous évaluerons chaque rapport en fonction de la qualité de ce qui est présenté, de la preuve de ce qui peut être exploité et de l'impact sur les utilisateurs.
Cette nouvelle annonce confirme les propos de Tim Cook. Une analyse interne avait suggéré qu'Apple a potentiellement deux ans de retard sur le reste de l'industrie de l'IA. Tim Cook a admis qu'Apple n'est pas le premier ni parmi la première horde d'entreprises engagées dans la course à l'IA. Toutefois, il est convaincu qu'Apple deviendra le leader en matière d'IA et proposera à terme la meilleure expérience possible de la technologie. Pour atteindre cet objectif, Apple compte sur son nouvel ensemble de fonctionnalités "Apple Intelligence" qui serait lancé le 28 octobre 2024.
Lors de l'annonce de l'Apple Security Bounty pour le Private Cloud Compute, Apple conclut :
Nous avons conçu Private Cloud Compute dans le cadre d'Apple Intelligence pour faire un pas en avant extraordinaire en matière de confidentialité dans l'IA. Il s'agit notamment d'offrir une transparence vérifiable, une propriété unique qui le distingue des autres approches d'IA basées sur des serveurs. S'appuyant sur notre expérience avec l'Apple Security Research Device Program, l'outil et la documentation que nous avons publiés aujourd'hui facilitent plus que jamais l'étude et la vérification des fonctions essentielles de sécurité et de confidentialité de PCC. Nous espérons que vous approfondirez la conception de PCC grâce à notre guide de sécurité, que vous explorerez vous-même le code grâce à l'environnement de recherche virtuel et que vous signalerez les problèmes que vous aurez découverts par le biais d'Apple Security Bounty. Nous pensons que Private Cloud Compute est l'architecture de sécurité la plus avancée jamais déployée pour le calcul d'IA dans le cloud à l'échelle, et nous sommes impatients de travailler avec la communauté des chercheurs pour renforcer la confiance dans le système et le rendre encore plus sûr et privé au fil du temps.
Source : Apple
Et vous ?
Pensez-vous que cette annonce est crédible ou pertinente ? Quel est votre avis sur le sujet ?Voir aussi :
Apple aurait développé une technique qui permet d'exécuter les modèles d'IA localement sur l'iPhone plutôt que sur le cloud, selon une étude Même Apple ne peut expliquer pourquoi nous avons besoin de l'IA dans nos vies. Certaines des nouvelles fonctionnalités d'Apple Intelligence n'ont même pas l'air d'être de l'IA Rapport scientifique international sur la sécurité de l'intelligence artificielle avancée : Un rapport actualisé et fondé sur des données probantes concernant la sécurité de l'IA avancée