Apple a créé un Environnement de recherche virtuel pour permettre au public d’accéder aux tests de sécurité de son système de calcul Cloud privé, et a publié le code source de certains “composants clés” pour aider les chercheurs à analyser les fonctionnalités de confidentialité et de sécurité de l’architecture.
La société cherche également à améliorer la sécurité du système et a élargi son programme de primes de sécurité pour inclure des récompenses allant jusqu’à 1 million de dollars pour les vulnérabilités qui pourraient compromettre « les garanties fondamentales de sécurité et de confidentialité de PCC.”
Private Cloud Compute (PCC) est un système d’intelligence cloud pour le traitement complexe par IA des données des appareils des utilisateurs d’une manière qui ne compromet pas la confidentialité.
Ceci est réalisé grâce à un cryptage de bout en bout, pour garantir que les données personnelles des appareils Apple envoyées à PCC ne sont accessibles qu’à l’utilisateur et que même Apple ne peut les observer.
Peu de temps après l’annonce de PCC par Apple, la société a donné un accès anticipé à certains chercheurs et auditeurs en sécurité afin qu’ils puissent vérifier les promesses de confidentialité et de sécurité du système.
Environnement de Recherche Virtuel
Dans un article de blog publié aujourd’hui, Apple annonce que l’accès à PCC est désormais public et que toute personne curieuse peut inspecter son fonctionnement et vérifier s’il répond aux revendications promises.
L’entreprise met à disposition le Guide de sécurité informatique du Cloud privé, qui explique l’architecture et les détails techniques des composants et leur fonctionnement.
Apple fournit également un Environnement de recherche virtuel (ERV), qui réplique localement le système d’intelligence cloud et permet de l’inspecter ainsi que de tester sa sécurité et de rechercher des problèmes.
“L’ERV exécute le logiciel de nœud PCC dans une machine virtuelle avec seulement des modifications mineures. Le logiciel de l’espace utilisateur fonctionne de la même manière que le nœud PCC, avec le processus de démarrage et le noyau adaptés à la virtualisation », explique Apple, partageant la documentation sur la configuration de l’environnement de recherche virtuel sur votre
VIR est présent sur macOS Sequoia 15.1 Developer Preview et nécessite un appareil avec du silicium Apple et au moins 16 Go de mémoire unifiée.
Les outils disponibles dans l’environnement virtuel permettent de démarrer une version PCC dans un environnement isolé, de modifier et de déboguer le logiciel PCC pour un examen plus approfondi et d’effectuer des inférences par rapport aux modèles de démonstration.
Pour faciliter la tâche des chercheurs, Apple a décidé de publier le code source de certains composants PCC qui implémentent des exigences de sécurité et de confidentialité:
- Le projet CloudAttestation-responsable de la construction et de la validation des attestations du nœud PCC.
- Le projet Dé à coudre – inclut le démon privatecloudcomputed qui s’exécute sur l’appareil d’un utilisateur et utilise CloudAttestation pour appliquer une transparence vérifiable.
- Démon splunk logging d-filtre les journaux qui peuvent être émis à partir d’un mode PCCI pour se protéger contre la divulgation accidentelle de données.
- Le projet srd_tools-contient l’outillage VRE et peut être utilisé pour comprendre comment le VRE permet d’exécuter le code PCC.
Apple encourage également la recherche avec de nouvelles catégories PCC dans son programme de primes de sécurité pour la divulgation accidentelle de données, la compromission externe des demandes des utilisateurs et l’accès physique ou interne.
La récompense la plus élevée est de 1 million de dollars pour une attaque à distance sur les données de requête, qui permet l’exécution de code à distance avec des droits arbitraires.
Pour montrer comment accéder aux données de demande d’un utilisateur ou à des informations sensibles, un chercheur peut obtenir une prime de 250 000$.
Démontrer le même type d’attaque, mais à partir du réseau avec des privilèges élevés, s’accompagne d’un paiement compris entre 50 000 et 150 000 dollars.
Cependant, Apple dit qu’il considère pour les récompenses tous les problèmes qui ont un impact significatif sur PCC, même s’ils ne font pas partie des catégories de son programme de primes aux bogues.
La société estime que son » Calcul dans le Cloud privé est l’architecture de sécurité la plus avancée jamais déployée pour le calcul de l’IA dans le cloud à grande échelle”, mais espère toujours l’améliorer davantage en termes de sécurité et de confidentialité avec l’aide de chercheurs.