Apple annonce une expansion majeure et une refonte de son programme de primes aux bogues, doublant les paiements maximums, ajoutant de nouvelles catégories de recherche et introduisant une structure de récompense plus transparente.
Depuis le lancement du programme en 2020, Apple a attribué 35 millions de dollars à 800 chercheurs en sécurité, la société payant 500 000 dollars pour certains des rapports soumis.
La récompense la plus élevée a été doublée à 2 millions de dollars, pour avoir signalé des vulnérabilités pouvant entraîner une compromission à distance sans clic (aucune interaction de l’utilisateur), similaire aux attaques de logiciels espions mercenaires. Cependant, les paiements peuvent atteindre 5 millions de dollars grâce au système de bonus.
” Il s’agit d’un montant sans précédent dans l’industrie et du plus gros paiement offert par n’importe quel programme de primes dont nous ayons connaissance – et notre système de bonus, offrant des récompenses supplémentaires pour les contournements du mode de verrouillage et les vulnérabilités découvertes dans les logiciels bêta, peut plus que doubler cette récompense, avec un paiement maximum de plus de 5 millions de dollars », a déclaré Apple.
Les autres paiements augmentés ou introduits dans le cadre du nouveau programme comprennent:
- Attaque à distance en un clic (interaction de l’utilisateur)-1 000 000 $
- Attaque de proximité sans fil – 1 000 000 $
- Large accès iCloud non autorisé – 1 000 000 $
- Chaîne d’exploitation WebKit menant à l’exécution de code arbitraire non signé – 1 000 000 $
- Attaque sur un appareil verrouillé avec accès physique-500 000 $
- Évasion du bac à sable de l’application – 500 000 $
- Évasion du bac à sable WebKit en un clic – 300 000 $
- Contournement complet de macOS Gatekeeper sans interaction de l’utilisateur – 100 000 $
- « prix d’encouragement » de 1 000 $pour des rapports à faible impact mais valides
Apple commente qu’il n’a jamais reçu de rapport démontrant un contournement complet du contrôleur d’accès sans interaction de l’utilisateur ou un large accès iCloud non autorisé, ces deux points sont donc un défi de taille pour les chasseurs de primes de bogues.
De plus, Apple a déclaré qu’il n’avait “jamais observé d’attaque réelle sans clic exécutée uniquement par proximité sans fil”, faisant référence au prix de « Proximité sans fil » de 1 million de dollars, en hausse par rapport aux 250 000 dollars précédents.
Cette catégorie est également en cours d’expansion, incluant désormais des puces développées par Apple telles que les modems C1 et C1X et la puce sans fil N1.
Pour 2026, Apple prévoit de distribuer un millier d’appareils iPhone 17 sécurisés aux membres d’organisations de la société civile présentant un risque plus élevé d’être ciblés par des logiciels espions mercenaires.
Les mêmes appareils alimenteront le Programme d’appareils de recherche sur la sécurité d’Apple l’année prochaine, auquel les chercheurs en sécurité pourront postuler d’ici le 31 octobre.
Le géant de la technologie s’attend à ce que l’augmentation des récompenses ait un impact supplémentaire sur le développement de chaînes d’attaques sophistiquées de fournisseurs de logiciels espions, car les chercheurs seront plus incités à trouver et à signaler les problèmes de sécurité.
Pour protéger ses utilisateurs contre les attaques sophistiquées de logiciels espions, Apple a mis en œuvre dans iOS des mesures de protection avancées telles que le mode de verrouillage et l’application de l’intégrité de la mémoire, qui rendent le développement et la réalisation d’attaques furtives de logiciels espions plus coûteux.