Apple lance à son tour son programme de bug bounty
Un logiciel informatique, quel qu'il soit, sans aucune faille est une utopie. Nous avons régulièrement la preuve. C'est aussi pour cette raison que les programmes de bug bounty se multiplient, et les géant de la tech y participent aussi. Aujourd'hui, Apple se lance.
Apple vient d’ouvrir son programme de bug bounty a tous les chercheurs en sécurité informatique, et cela concerne aussi tous ses systèmes d’exploitation. C’est le directeur de la sécurité pour l’ingénierie et l’architecture au sein de la firme de Cupertino, Ivan Krstić, qui a annoncé la nouvelle via son compte Twitter. Dans une note sur son site dédié aux développeurs, Apple précise que le programme Security Bounty concerne désormais iOS, iPadOS, macOS, tvOS et watchOS. Précédemment, il n’était accessible que sur invitation et uniquement pour iOS.
Apple lance un programme de bug bounty digne de ce nom
Pour être éligible, il faudra être le premier à rapporter un bug aux équipes Apple Product Security. Il faudra fournir un rapport complet, qui devra comprendre une preuve fonctionnelle – sans elle, Apple ne paiera que la moitié de la prime promise -, et la faille/le bug doit être gardé(e) secret jusqu’à ce que le conseil de sécurité d’Apple ne le prenne officiellement en charge. Si les conditions sont respectées, Apple pourra se montrer assez généreux. La prime maximale sera de 100 000$ pour une méthode permettant de contourner l’écran de verrouillage par exemple et jusqu’à 1 million de dollars pour des scenarii en un clic ou sans clic. Selon Apple, le minimum serait de 5 000$, et ce dans les différentes catégories.
Ouvert à tous, tous les OS sont concernés, et les primes sont intéressantes
À titre de comparaison, sur la page de bug bounty de Microsoft, la prime maximale est de 300 000$ pour des failles découvertes dans son service cloud Azure. Google, de son côté, grimpe jusqu’à 1 million de dollars pour une faille concernant le Pixel Titan M et propose lui aussi 100 000$ pour un contournement de l’écran de verrouillage. Ce programme était beaucoup critiqué par les chercheurs en sécurité. Il y a quelques mois, un expert avait découvert une faille importante dans la Keychain de macOS et il avait été très compliqué de faire reconnaître la chose. C’est une bonne chose que tous les OS soient aujourd’hui concernés, et que les primes aient vu leur montant augmenter…