Apple annonce un programme de “bug bounty” sur l’ensemble de ses logiciels

L'entreprise qui est toujours restée timide pour autoriser la chasse aux bogues offre désormais jusqu'à 1 million de dollars pour la divulgation de vulnérabilités.

Comme le révèle MacRumors, Apple a officialisé un programme de chasses aux exploits ou vulnérabilités qui permettra au long terme de sécuriser davantage l’écosystème de la marque à la pomme. Alors qu’auparavant le programme de bug bounty n’était ouvert qu’aux personnes invitées et se limitait aux appareils utilisant iOS, les chercheurs en sécurité pourront désormais s’intéresser aux systèmes d’exploitation macOS, iPadOS, tvOS, watchOS et même à iCloud. La firme détaille sur son site : “Dans le cadre de l’engagement d’Apple envers la sécurité, nous récompensons les chercheurs qui partagent avec nous des problèmes critiques et les techniques utilisées pour les exploiter. Nous faisons de notre mieux pour résoudre les problèmes confirmés le plus rapidement possible afin de mieux protéger nos clients.”

Des bonus pour les versions bêta

Si l’admissibilité des bogues ne se fait qu’avec les dernières versions publiques d’iOS, iPadOS, macOS, tvOS ou watchOS, Apple ajoutera un bonus de 50% sur les primes habituelles pour tout problème souligné sur les versions bêta, prévenant donc les utilisateurs finaux d’être touchés par une vulnérabilité. Les conditions d’acception des rapports sont standards : il est nécessaire de “fournir un rapport clair, qui inclut un exploit fonctionnel” qui n’a pas été divulgué au public et le bogue doit être reproductible par les équipes d’Apple.

Jusqu’à 1 million de dollars

Alors que la prime maximum atteignait $200 000 auparavant, Apple voit plus grand et propose de toucher jusqu’à 1 million de dollars si un chercher parvient à trouver une attaque réseau sans intervention de l’utilisateur, notamment si celles-ci touchent au noyau. Si le programme vous intéresse, vous pouvez jeter un œil sur la page officielle sur le site d’Apple.