Ouvrir le menu principal

MacGeneration

Recherche

Un chercheur se plaint qu'Apple paye mal pour la découverte d'une faille… qui n'aurait pas dû être payée

Pierre Dandumont

jeudi 31 juillet 2025 à 19:49 • 39

Logiciels

Apple a ouvert son programme de recherche de failles (ce qu'on appelle généralement du bug bounty) en 2019 et depuis, il y a un reproche assez récurrent : la firme rechigne à ouvrir les cordons de la bourse. Si Apple paye les chercheurs qui découvrent les failles en suivant les règles, elle tend en effet à ne proposer que des sommes parfois assez faibles, avec des règles plus contraignantes que celles de ses concurrents. Ce n'est d'ailleurs pas la première fois que nous relayons ce reproche.

Image Needpix.

Le dernier exemple en date est relayé par MacWorld. ‌Renwa a découvert une faille critique dans Safari, qui permettait d'accéder à des informations issues d'autres processus. Dans une des démonstrations, elle permet d'accéder au contenu d'un onglet ouvert sur iCloud.com, dans l'autre d'accéder à la caméra d'un Mac ou d'un appareil iOS. La faille, corrigée avec macOS 15.4 ou iOS 18.4 (et les autres itérations équivalents d'iPadOS, visionOS, etc.), est considérée comme critique selon les critères CVS, avec une note de 9,8/10.

Sur X, Renwa explique qu'Apple n'a payé que 1 000 $, une récompense qui semble assez faible pour une faille critique. Selon MacWorld, c'est assez habituel chez Apple de minimiser l'importance des failles au moment du paiement, mais un chercheur de bug (Gergely Karman) explique qu'Apple tend à ne même pas récompenser les chercheurs quand une faille nécessite plusieurs interactions de l'utilisateur (ce qui est le cas ici). C'est un point mis en avant sur la page dédiée du programme, et qui peut se défendre : une faille qui nécessite plusieurs interactions (plus d'un clic, en simplifiant) n'est pas nécessairement considérée comme dangereuse du point de vue d'un utilisateur. Mais d'un autre point de vue, c'est tout de même une faille qui peut être dangereuse une fois exploitée intelligemment par un malandrin. Certains, dans les réponses, pointent par ailleurs qu'Apple aurait même pu ne rien payer si la marque suivait ses règles, ce que le message publié par Renwa montre bien.

En théorie, Apple ne devait même pas le payer. Image X.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Tim Cook a été plus longtemps à la tête d'Apple que Steve Jobs

15:23

• 3


Quatre ans après macOS, Adobe Premiere Pro et After Effects arrivent en bêta pour les PC Windows ARM

13:15

• 11


Promo : l’iPhone 15 Plus à 789 €, une bonne affaire (-19 %)

11:53

• 10


OpenAI lance un nouveau mode plus pédagogique pour ChatGPT à destination des étudiants

11:05

• 3


Linus Torvalds a visiblement abandonné son MacBook Air M2

10:35

• 9


Zuckerberg : « le développement d’une superintelligence est à portée de main »

09:10

• 40


3 milliards d’iPhone écoulés depuis 2007 : le produit high-tech le plus vendu de l’histoire ?

07:22

• 18


Promo : la station d'accueil Ugreen pour le Mac mini M4 à 70 € (-30 €)

31/07/2025 à 23:38

• 14


Résultats T3 25 : et la guerre commerciale profita à Apple !

31/07/2025 à 23:00

• 46


Ollama propose une nouvelle app pour le Mac qui permet de se passer entièrement du terminal

31/07/2025 à 20:05

• 16


Un chercheur se plaint qu'Apple paye mal pour la découverte d'une faille… qui n'aurait pas dû être payée

31/07/2025 à 19:49

• 39


Le dock Thunderbolt 5 d'Ugreen à 270 € en promotion

31/07/2025 à 18:35

• 6


iPhone 17 : une hausse de prix est plus que probable pour les analystes

31/07/2025 à 18:28

• 32


Les Mac Apple Silicon sous Linux pourront bientôt redémarrer

31/07/2025 à 17:55

• 20


« J’ai failli cliquer » : la nouvelle génération d’arnaques fait tomber les défenses 📍

31/07/2025 à 17:06

• 0


Un boîtier pour SSD M.2 en promotion, avec Thunderbolt 4 et USB-C 🆕

31/07/2025 à 16:13

• 11