N'importe quel chercheur en sécurité trouvant une faille dans un système Apple peut désormais prétendre à une récompense pécuniaire. Comme elle s'y était engagée lors de la dernière Black Hat, Apple a finalement ouvert son bug bounty à tous.
Apple avait mis en place dès 2016 un programme de chasse aux bugs de sécurité, mais celui-ci avait un spectre très limité, tant au niveau des systèmes concernés (uniquement iOS) que des participants, triés sur le volet.
En ouvrant son bug bounty à tous, Cupertino répond à une demande pressante de la communauté des chercheurs et suit enfin une pratique commune dans le monde de la sécurité informatique.
Apple offre de 100 000 $ (accès à un compte iCloud sur les serveurs Apple) jusqu'à 1 million de dollars (exécution de code au niveau du kernel avec persistance et sans interaction de l'utilisateur) selon la faille trouvée. C'est une manière d'éviter que les fins limiers ne vendent leurs bugs à des entreprises privées plus ou moins respectables et d'arrêter les polémiques sur l'équité du programme — et au bout du compte de renforcer la sécurité des systèmes.
L'Apple Security Bounty couvre les problèmes de sécurité identifiés dans les dernières versions publiques d'iOS, iPadOS, macOS, tvOS et watchOS, avec une configuration standard. Il y a plusieurs conditions pour prétendre à la gratification : être le premier à signaler le bug ; fournir un rapport détaillé ; et ne pas révéler publiquement la faille avant qu'Apple ne le fasse — et qu'elle ne la corrige. Les bugs de sécurité spécifiques aux bêtas peuvent rapporter un bonus de 50 %, mais ce n'est pas systématique.
Comme il est de coutume, les chercheurs seront crédités publiquement pour leurs trouvailles. De plus, si un chercheur verse tout ou partie de sa récompense à une organisation caritative, Apple s'engage à verser le même montant à l'association.
Tous les détails du programme sont disponibles sur la page Apple Security Bounty.