Hier, lors de son entrevue avec Joanna Stern du Wall Street Journal, Craig Federighi a évoqué brièvement le système Private Cloud Compute (PCC). Hasard du calendrier -ou pas-, Apple partage aujourd’hui les ressources du PCC pour les chercheurs et le public et, en plus, étend les récompenses de son programme de Bug Bounty.
Le privé au service du public
Dans un nouvel article -intitulé Security research on Private Cloud Compute- publié sur son site dédié à la sécurité, Cupertino dévoile tous les détails des procédures mises en œuvre ainsi que l’ensemble de ces ressources.
En guise d’introduction, Apple indique que Private Cloud Compute (PCC) répond aux demandes de calcul intensives d’Apple Intelligence tout en offrant des protections de confidentialité et de sécurité révolutionnaires, en intégrant notre modèle de sécurité des appareils de pointe dans le cloud.
Les ingénieurs du SEAR (Apple Security Engineering and Architecture) expliquent ainsi que pour renforcer la confiance du public dans le système, les chercheurs en sécurité et confidentialité auraient la possibilité d’inspecter et de vérifier les promesses de sécurité et de confidentialité de bout en bout de PCC.
Dans un premier temps, un accès anticipé aux ressources a été proposé à des auditeurs tiers et à des chercheurs en sécurité sélectionnés, via un rapport de confidentialité. Aujourd’hui, ces ressources sont mises à la disposition du publicpour inviter tous les chercheurs en sécurité et confidentialité, ou toute personne intéressée et ayant une curiosité technique, à en savoir plus sur PCC et à effectuer leur propre vérification indépendante de nos déclarations.
Ainsi, un environnement de recherche virtuel (Virtual Research Environment ou VRE) est mis en place. Il s’agit d’un ensemble d’outils qui permet à chacun d’effectuer sa propre analyse de sécurité du calcul en cloud privé directement depuis votre Mac.
Cet environnement va permettre diverses actions, comme répertorier et inspecter les versions du logiciel PCC, vérifier la cohérence du journal de transparence, télécharger les binaires correspondant à chaque version, démarrer une version dans un environnement virtualisé, effectuer des inférences par rapport aux modèles de démonstration ou encore modifier et déboguer le logiciel PCC pour permettre une investigation plus approfondie.
Enfin, afin d’encourager davantage les recherches sur le calcul en cloud privé, le programme Apple Security Bounty est étendu. Il inclut désormais des récompenses pour les vulnérabilités qui démontrent une compromission des garanties fondamentales de sécurité et de confidentialité de PCC. Ces nouvelles récompenses vont de maximum 50 000 à 1 000 000 dollars selon la catégorie.
Deux ans de retard et alors ?
Concernant le retard d'Apple Intelligence, Craig Federighi déclamait le même discours que Tim Cook : Apple souhaite créer le meilleur avant de le proposer à ses utilisateurs, peu important le temps que cela prendra. En effet, la firme a voulu partir de ses technologies existantes et ainsi créer une Intelligence qui comprenne ses utilisateurs tout en respectant leur vie privée. Pour cela, elle va utiliser les informations stockées sur l'iPhone, ce qui signifie que la confidentialité est une considération extrêmement importante.
Dans la plupart des modèles actuels, les IA envoient les requêtes dans le cloud pour les lire, les analyser et les traiter. A l'opposé, Apple Intelligence traitera ces dernières directement sur l’appareil de chaque utilisateur afin de garantir la confidentialité. Si un besoin de puissance s’avère indispensable, des requêtes pourront être envoyées dans le cloud via Private Cloud Compute.
Lors de la WWDC 2024, Apple avait dévoilé cette nouvelle plateforme, assurant qu'elle autoriserait des experts indépendants à vérifier les protections mises en place afin de garantir la sécurité et la confidentialité des données de ses utilisateurs. C’est donc chose faite à présent, à quelques jours du lancement officiel d’Apple Intelligence.
