Ouvrir le menu principal

MacGeneration

Recherche

Apple va bonifier son bug bounty pour attirer des chercheurs en sécurité pas très enthousiastes

Mickaël Bazoge

jeudi 09 septembre 2021 à 18:26 • 32

AAPL

La réputation du programme de chasse aux bugs (bug bounty) d'Apple n'est guère fameuse auprès de la communauté des chercheurs en sécurité : peu ou pas de communication de la part de l'entreprise, opacité des primes, une considération pour le travail des white hat proche du néant absolu…

On en a eu une démonstration édifiante cet été, avec le témoignage de Nicolas Brunner qui s'est fait bouler par le constructeur malgré la découverte d'une vulnérabilité qui aurait dû permettre au chercheur d'empocher une prime de 50 000 $. Pas de quoi inciter à travailler pour le compte d'Apple…

Un (mauvais) retour d

Un (mauvais) retour d'expérience sur le programme de primes de sécurité d'Apple

« Quand nous faisons des erreurs, nous travaillons dur pour les corriger rapidement, et nous apprenons en améliorant le programme », assure Ivan Krstić au Washington Post, interrogé sur cet exemple particulier. Le responsable d'Apple en charge de la sécurité de l'ingénierie et de l'architecture annonce également que le constructeur va lancer de nouvelles récompenses afin de pousser les chercheurs à participer à son bug bounty.

Krstić ajoute : « Nous cherchons toujours de nouveaux moyens pour proposer des outils de recherche encore meilleurs qui répondent au modèle de sécurité rigoureux de notre plateforme ». En parallèle, Apple s'attache à accélérer le temps de traitement et à améliorer sa communication avec la communauté. Mais fidèle à sa culture du secret, l'entreprise n'a pas voulu confirmer l'embauche d'un nouveau patron pour le programme de chasse aux failles de sécurité… Il aura pourtant comme mission de le réformer complètement. Il y a du boulot.

Le Washington Post relate plusieurs exemples du peu d'intérêt manifesté par Apple pour les chercheurs qui jouent le jeu. Il y a eu le cas Brunner, mais aussi celui de Cedric Owens qui a débusqué une vulnérabilité dans macOS en début d'année, pour laquelle il aurait dû recevoir 100 000 $. La faille a été corrigée avec macOS 11.3, mais le constructeur s'est contenté de lui verser 5 000 $ seulement, bien que la découverte corresponde à une prime plus élevée.

macOS 11.3 bouche une vulnérabilité qui contourne les mécanismes de sécurité du Mac

macOS 11.3 bouche une vulnérabilité qui contourne les mécanismes de sécurité du Mac

Malgré les protestations d'Owen, Apple n'a pas voulu reconsidérer le montant de la prime. Le chercheur, dépité, continuera de prévenir le constructeur s'il tombe sur des vulnérabilités, mais il est forcément déçu. D'autres se seraient tournés vers le marché gris où de telles failles sont bien mieux rémunérées, et qui permettent à des entreprises comme NSO de vendre des outils de surveillance à la Pegasus.

Ivan Krstić rappelle qu'Apple a doublé la valeur des primes l'an dernier, et le cadre explique que l'entreprise verse un montant par prime en moyenne plus élevé que le reste de l'industrie. Il n'empêche : en 2020, Apple a dépensé 3,7 millions de dollars dans le cadre de son bug bounty, contre 6,7 millions pour Google et 13,6 millions pour Microsoft (entre juillet 2020 et juillet 2021). Krstić précise que ce montant va augmenter en 2021.

Apple ouvre son bug bounty à tous les chercheurs en sécurité

Apple ouvre son bug bounty à tous les chercheurs en sécurité

Soutenez MacGeneration sur Tipeee

MacGeneration a besoin de vous

Vous pouvez nous aider en vous abonnant ou en nous laissant un pourboire

Soutenez MacGeneration sur Tipeee

L’iPhone 17 Pro et l’iPhone Air semblent vraiment beaucoup plus fragiles aux rayures que prévu

19/09/2025 à 21:15

• 73


Aperçu de l’Apple Watch Ultra 3, une montre pas tellement plus Ultra qu’avant

19/09/2025 à 20:34

• 25


MacBook Air à 599 $ : A18 Pro ou A19 Pro sous le capot ?

19/09/2025 à 17:24

• 38


Jony Ive et OpenAI débaucheraient sans trop de difficultés des spécialistes chez Apple

19/09/2025 à 16:40

• 35


Prise en main : l’iPhone 17 Pro orange est en effet très orange

19/09/2025 à 15:06

• 92


Un 14 juillet avec le Président de la République : quand le Vision Pro s’invite aux Journées européennes du patrimoine

19/09/2025 à 10:32

• 26


Bonne surprise : les AirPods Pro 3 sont (encore) en stock

19/09/2025 à 10:31

• 6


Remind Me Faster 6 devient une véritable app pour tous les Mac

19/09/2025 à 09:24

• 8


Des iPhone 17 Pro et Pro Max en stock

19/09/2025 à 08:29

• 83


Pub Apple : l'iPhone 17 Pro aime le vent, la boue et globalement s'en prendre plein la figure

19/09/2025 à 08:04

• 18


iPhone Air, iPhone 17, Pro et Pro Max : les surprises des derniers tests d’autonomie

19/09/2025 à 08:03

• 38


Promo : le MacBook Air M2 16/256 Go à 799 €

19/09/2025 à 07:22

• 4


Nvidia et Intel annoncent un partenariat à 5 milliards pour concurrencer AMD

19/09/2025 à 06:30

• 17


Vendez votre ancien iPhone, vite fait bien fait

18/09/2025 à 23:55

• 0


La Chine interdit à ses géants de la tech les puces Nvidia, et Huawei annonce prendre la relève

18/09/2025 à 21:45

• 72


Ubiquiti présente toute une gamme de NAS, dont un petit UNAS 2 qui rappelle fort la Time Capsule

18/09/2025 à 17:11

• 50