Apple revoit en profondeur son programme de “bug bounty” avec des récompenses allant jusqu’à 2 millions de dollars pour la découverte d’une vulnérabilité. Le géant de Cupertino cherche à motiver les chercheurs en sécurité pour qu’ils évaluent la sécurité de son écosystème, avec de belles récompenses à la clé.
Apple vient d’annoncer une refonte majeure de son programme de Bug Bounty. Pour rappel, un programme de bug bounty est une initiative par laquelle une organisation invite des chercheurs en sécurité à identifier et signaler des vulnérabilités dans ses systèmes en échange d’une récompense financière. Ici, il est question de découvrir des vulnérabilités dans les systèmes des produits Apple : iOS, iPadOS, macOS, tvOS, etc.
Ce programme, lancé en 2020 par Apple, a déjà permis de reverser environ 35 millions de dollars à 800 chercheurs en sécurité, avec plusieurs récompenses à 500 000 dollars.
Désormais, Apple a décidé d’augmenter de façon significative les montants offerts, avec notamment plusieurs primes doublées ! La récompense maximale est accordée à certains types d’exploit, notamment pour les vulnérabilités critiques de type zero-click RCE (exécution de code à distance), dont l’exploitation ne nécessite aucune interaction de l’utilisateur : la nouvelle récompense peut atteindre les 2 millions de dollars. Ce type de vulnérabilité peut notamment être exploité par des logiciels espions.
Par ailleurs, Apple évoque un système de bonus où la récompense peut potentiellement atteindre plus de 5 millions de dollars. L’entreprise américaine précise : “Il s’agit d’un montant sans précédent dans l’industrie et de la plus grosse prime proposée par tout programme de bug bounty dont nous avons connaissance — et notre système de bonus, qui accorde des récompenses supplémentaires pour les contournements du Mode Verrouillage (Lockdown Mode) et les vulnérabilités découvertes dans des logiciels en bêta, peut plus que doubler cette récompense, avec un paiement maximal dépassant les 5 millions de dollars.”
Quelles sont les primes revues à la hausse ?
Le nouveau programme s’accompagne d’une grille de récompenses détaillée. Cette transparence vise à orienter les efforts des chercheurs vers les domaines les plus critiques pour la sécurité des utilisateurs finaux. Voici les primes doublées :
Type d’attaqueRécompense maximale actuelleNouvelle récompense maximaleChaîne Zero Click : attaque à distance sans interaction de l’utilisateur1 000 000 $2 000 000 $Chaîne One-Click : attaque à distance nécessitant une seule interaction de l’utilisateur250 000 $1 000 000 $Attaque sans fil à proximité : attaque nécessitant une proximité physique avec l’appareil250 000 $1 000 000 $Accès physique à l’appareil : attaque nécessitant un accès physique à un appareil verrouillé250 000 $500 000 $Évasion du bac à sable d’application : attaque depuis le bac à sable d’une application pour contourner le SPTM150 000 $500 000 $
Apple en profite aussi pour souligner que personne n’est encore parvenu à contourner complètement Gatekeeper ou à obtenir un accès non autorisé à iCloud. Par exemple, réaliser cet exploit au sein de Gatekeeper permet d’obtenir une récompense de 100 000 dollars.
Au-delà de ces sommes astronomiques et de la gravité des vulnérabilités associées, Apple veut récompenser les chercheurs dont les découvertes sont moins impactantes. Jusqu’ici, Apple faisait tout de même l’effort de corriger les vulnérabilités, d’associer une référence CVE et de préciser le nom du chercheur. Désormais, il y aura une prime puisque n’importe qui peut prétendre à une récompense de 1 000 dollars.
“Nous souhaitons que ces chercheurs vivent une expérience encourageante – c’est pourquoi, en plus de l’attribution d’un identifiant CVE et de la mention du chercheur comme auparavant, nous récompenserons désormais ces rapports par une prime de 1 000 dollars.”, explique Apple sur son site.
Enfin, en parallèle, Apple prévoit de distribuer, en 2026, un millier d’iPhone 17 sécurisés aux organisations de la société civile qui sont les plus exposées aux attaques par logiciels espions.
Qu’en pensez-vous ?
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.