Apple annonce une augmentation significative des récompenses versées dans le cadre de son programme de bug bounty dédié à la découverte de failles de sécurité. L’entreprise veut encourager les chercheurs en cybersécurité à la prévenir en cas de problème.
Vous avez besoin d’argent ? Piratez votre iPhone. Dans un communiqué publié le 10 octobre, Apple annonce augmenter les primes versées dans le cadre de son programme bug bounty, qui vise à récompenser les hackers et les chercheurs en cybersécurité qui préfèreraient alerter la marque d’une faille, plutôt que de l’utiliser à des fins malveillantes.
Depuis 2020, Apple indique à Numerama avoir versé 35 millions de dollars à 800 chercheurs, avec des primes maximales aujourd’hui fixées à 500 000 dollars. Son nouveau programme, plus généreux que jamais, vise à éliminer les failles matérielles et logicielles dans ses produits. La marque introduit un plafond inédit de 2 millions de dollars comparable à ceux utilisés dans les campagnes d’espionnage étatiques. Grâce aux bonus cumulables (pour un contournement du Lockdown Mode ou une faille découverte dans une version bêta), la récompense peut désormais dépasser 5 millions de dollars, du jamais-vu dans l’industrie.
Votre vie privée doit rester privée.
Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.
Apple, en septembre, a dévoilé le MIE (Memory Integrity Enforcement), une technologie qui vise à prévenir l’exploitation de vulnérabilités dans la sécurité mémoire. Son objectif est de boucher les nouvelles méthodes que pourraient exploiter les hackers pour contourner cette sécurité, en distribuant encore plus d’argent.
Entre 500 000 et 5 millions de dollars de récompenses
Si vous découvrez une faille importante, Apple vous versera désormais entre 500 000 dollars et 2 millions de dollars, voire jusqu’à 5 millions de dollars si la faille trouvée coche plusieurs cases. Les nouveaux critères, qui entreront en vigueur en novembre, sont les suivants :
- Zéro-clic (sans action de l’utilisateur) : jusqu’à 2 M $ (1 M $ avant). Les failles repérées dans des versions bêta ou contournant le Lockdown Mode peuvent bénéficier d’un bonus de 50 % à 100 %, poussant certaines primes au-delà du plafond de 5 millions.
- One-click (clic sur lien piégé) : jusqu’à 1 M $ (250 000 $ avant).
- Attaques radio en proximité (Wi-Fi, Bluetooth, Ultra Wideband, etc.) : jusqu’à 1 M $.
- Accès physique à un appareil verrouillé : jusqu’à 500 000 $ (200 000 $ avant).
- Évasion du sandbox d’une app ou du Secure Page Table Monitor : jusqu’à 500 000 $.
- Bypass complet du système Gatekeeper sur macOS (pour installer des apps) : 100 000 $.
- Accès non autorisé à iCloud : jusqu’à 1 M $ (aucun exploit n’a encore été démontré selon Apple).
- Chaîne WebKit avec exécution de code + évasion sandbox : jusqu’à 300 000 $.
Autre nouveauté : Apple introduit des « Target Flags », sortes de balises intégrées à ses systèmes d’exploitation. Elles permettent aux chercheurs de prouver objectivement un niveau de compromission et d’obtenir une validation accélérée du paiement, avant même que le correctif ne soit diffusé. Cette approche vise à rendre les récompenses plus claires et à renforcer la confiance entre Apple et la communauté sécurité. Apple annonce aussi une initiative humanitaire inédite : l’envoi de 1 000 iPhone 17 équipés de Memory Integrity Enforcement (MIE) à des organisations de la société civile œuvrant contre les logiciels espions mercenaires.
| Nouveau montant | Ancien montant | |
|---|---|---|
| Zéro-clic | 2 000 000 $ | 1 000 000 $ |
| One-click | 1 000 000 $ | 250 000 $ |
| Attaques radio | 1 000 000 $ | – |
| Accès physique | 500 000 $ | 200 000 $ |
| Évasion du sandbox d’une app | 500 000 $ | – |
| Bypass Gatekeeper | 100 000 $ | – |
| iCloud | 1 000 000 $ | – |
| Chaîne WebKit | 300 000 $ | – |
Avec plus de 2,35 milliards d’appareils Apple actifs, la marque veut dissuader les hackers de vendre leurs failles à des groupes malveillants. Découvrir une faille d’une telle envergure n’est pas donné à tout le monde, mais les personnes visées par le programme bug bounty sont celles qui auraient pu se laisser tenter par la publication d’outils de jailbreak. Avec de telles récompenses, elles ont désormais toutes les raisons du monde de communiquer à Apple leurs découvertes.
Toute l’actu tech en un clin d’œil
Ajoutez Numerama à votre écran d’accueil et restez connectés au futur !
