La marque à la pomme élargit son programme de bug bounty à l’ensemble des chercheurs en sécurité. Un moyen pour elle de mieux appréhender les brèches informatiques nichées au sein de ses appareils. Pour l’occasion, iPadOS, macOS, tvOS, watchOS et iCloud sont désormais éligibles aux primes.

À n’en pas douter, les programmes de bug bounty apportent des solutions fiables aux grandes entreprises informatiques. En témoignent ceux de Mozilla et Google, dont les primes dépassent même le million de dollars pour le second. Dénicher des failles jusque-là insoupçonnées permet ainsi à des chercheurs de toucher le pactole, et aux sociétés concernées de corriger une anomalie potentiellement grave. Du donnant-donnant, en somme.

Jusque-là, Apple jouait la carte de la prudence. Seule une poignée de spécialistes triée sur le volet était invitée à signaler des vulnérabilités liées au système d’exploitation mobile iOS. Un cadre rigide désormais plus souple au regard des dernières mesures mises en place par la firme d’outre-Atlantique. Cette dernière ouvre en effet son programme au grand public, non sans élargir la liste des OS éligibles à une prime financière, rapporte ZDNet.

Des critères stricts

La page dédiée disponible sur le site officiel confirme la nouvelle, bien que le groupe avait profité du Black Hat 2019, en août, pour dévoiler ses intentions. À quoi doivent donc s’attendre les chercheurs en sécurité ? À des critères relativement stricts et des récompenses élevées. À titre d’exemple, un rapport contenant un POC (Proof of Concept) basique au lieu d’un exploit fonctionnel impactera de 50 % la gratification finale.

La sécurité des iPhone, écoulés à plusieurs millions d’exemplaires dans le monde, fait forcément partie des priorités d’Apple. // Crédit photo : Nikolay Tarashchenko via Unsplash.

Le groupe californien énumère ainsi plusieurs conditions à respecter à la lettre :

  • Une description détaillée de l’anomalie reportée.
  • Les prérequis et les étapes nécessaires pour que le système soit impacté.
  • Une faille suffisamment grave pour que le problème soit signalé.
  • Une quantité d’informations suffisante pour qu’Apple puisse reproduire l’incident.

Qui veut gagner des millions ?

Aussi, la société de Cupertino suscite un intérêt tout particulier pour les failles impactant ses appareils et logiciels grand public les plus récents. Tout comme celles qui affectent plusieurs plateformes et touchent des composants sensibles. Les vulnérabilités liées aux fonctionnalités et au code récemment ajoutés dans des versions bêta adressées aux développeurs et au grand public font aussi partie du lot.

Les attaques zero click (où l’utilisateur est infecté sans aucune interaction de sa part) ont forcément de quoi inquiéter les équipes d’ingénieurs. C’est pourquoi la multinationale offre des rémunérations de 250 000 à un million de dollars pour ce type de hack (l’intégralité du barème des récompenses est à consulter sur ce lien) . En revanche, le chercheur se doit de fournir une chaîne d’exploitation complète pour espérer toucher le pactole. Voilà Apple fin prêt à contrecarrer de potentielles futures cyberattaques : aux spécialistes du domaine de mettre la main à la patte.

Partager sur les réseaux sociaux