Apple vient d’annoncer une grosse refonte de son programme de chasse aux bugs (bug bounty), qui vise à inciter les chercheurs en sécurité à remonter des failles et autres vulnérabilités dans ses logiciels. Cupertino a annoncé qu’elle allait doubler la récompense maximale pour certains problèmes très sophistiqués, qui peut maintenant atteindre les 2 millions de dollars.
Dans son communiqué, Apple explique que cette grosse somme vise les chaînes de failles pouvant atteindre « des objectifs similaires à ceux des attaques sophistiquées menées par des logiciels espions mercenaires ». L’idée est de mettre l’accent sur les chaînes complètes plutôt que sur les vulnérabilités individuelles. Apple insiste sur sa générosité et affirme qu’il s’agit de la plus importante récompense offerte par un programme de prime du même genre.
Cupertino rappelle également offrir un bonus pour les recherches concernant son mode Isolement sur les bêtas. Celui-ci « aide à protéger les appareils contre les cyberattaques extrêmement rares et très sophistiquées ». La récompense la plus haute dépasse les 5 millions de dollars. Les catégories vont désormais être plus variées. Apple explique par exemple donner jusqu’à 300 000 $ pour les évasions du bac à sable WebKit réalisables en un seul clic, et jusqu’à 1 million pour les exploits de proximité sans fil utilisant n’importe quelle radio.
Nous doublons ou augmentons considérablement les récompenses dans de nombreuses autres catégories afin d'encourager des recherches plus approfondies. Cela inclut 100 000 dollars pour un contournement complet de Gatekeeper et 1 million de dollars pour un accès non autorisé à iCloud, car aucune exploitation réussie n'a été démontrée à ce jour dans ces deux catégories.
Apple a également présenté les Target Flags, un indicateur technique fourni par les chercheurs pour démontrer rapidement et objectivement qu’une vulnérabilité est exploitable. Le but est d’accélérer l’évaluation et le versement des récompenses, même avant qu’un correctif soit disponible. Jusqu’à présent, les chercheurs devaient attendre qu’Apple publie un patch avant de toucher leurs primes.
Apple affirme avoir distribué plus de 35 millions de dollars à plus de 800 chercheurs depuis le lancement du programme en 2020. Les nouveautés présentées aujourd'hui seront mises en place au courant du mois de novembre.
