Vous avez besoin d’argent ? Piratez votre iPhone. Dans un communiqué publié le 10 octobre, Apple annonce augmenter les primes versées dans le cadre de son programme bug bounty, qui vise à récompenser les hackers et les chercheurs en cybersécurité qui préfèreraient alerter la marque d’une faille, plutôt que de l’utiliser à des fins malveillantes.
Depuis 2020, Apple indique à Numerama avoir versé 35 millions de dollars à 800 chercheurs, avec des primes maximales aujourd’hui fixées à 500 000 dollars. Son nouveau programme, plus généreux que jamais, vise à éliminer les failles matérielles et logicielles dans ses produits. La marque introduit un plafond inédit de 2 millions de dollars comparable à ceux utilisés dans les campagnes d’espionnage étatiques. Grâce aux bonus cumulables (pour un contournement du Lockdown Mode ou une faille découverte dans une version bêta), la récompense peut désormais dépasser 5 millions de dollars, du jamais-vu dans l’industrie.
Apple, en septembre, a dévoilé le MIE (Memory Integrity Enforcement), une technologie qui vise à prévenir l’exploitation de vulnérabilités dans la sécurité mémoire. Son objectif est de boucher les nouvelles méthodes que pourraient exploiter les hackers pour contourner cette sécurité, en distribuant encore plus d’argent.
Entre 500 000 et 5 millions de dollars de récompenses
Si vous découvrez une faille importante, Apple vous versera désormais entre 500 000 dollars et 2 millions de dollars, voire jusqu’à 5 millions de dollars si la faille trouvée coche plusieurs cases. Les nouveaux critères, qui entreront en vigueur en novembre, sont les suivants :
- Zéro-clic (sans action de l’utilisateur) : jusqu’à 2 M $ (1 M $ avant). Les failles repérées dans des versions bêta ou contournant le Lockdown Mode peuvent bénéficier d’un bonus de 50 % à 100 %, poussant certaines primes au-delà du plafond de 5 millions.
- One-click (clic sur lien piégé) : jusqu’à 1 M $ (250 000 $ avant).
- Attaques radio en proximité (Wi-Fi, Bluetooth, Ultra Wideband, etc.) : jusqu’à 1 M $.
- Accès physique à un appareil verrouillé : jusqu’à 500 000 $ (200 000 $ avant).
- Évasion du sandbox d’une app ou du Secure Page Table Monitor : jusqu’à 500 000 $.
- Bypass complet du système Gatekeeper sur macOS (pour installer des apps) : 100 000 $.
- Accès non autorisé à iCloud : jusqu’à 1 M $ (aucun exploit n’a encore été démontré selon Apple).
- Chaîne WebKit avec exécution de code + évasion sandbox : jusqu’à 300 000 $.
Autre nouveauté : Apple introduit des « Target Flags », sortes de balises intégrées à ses systèmes d’exploitation. Elles permettent aux chercheurs de prouver objectivement un niveau de compromission et d’obtenir une validation accélérée du paiement, avant même que le correctif ne soit diffusé. Cette approche vise à rendre les récompenses plus claires et à renforcer la confiance entre Apple et la communauté sécurité. Apple annonce aussi une initiative humanitaire inédite : l’envoi de 1 000 iPhone 17 équipés de Memory Integrity Enforcement (MIE) à des organisations de la société civile œuvrant contre les logiciels espions mercenaires.
| Nouveau montant | Ancien montant | |
|---|---|---|
| Zéro-clic | 2 000 000 $ | 1 000 000 $ |
| One-click | 1 000 000 $ | 250 000 $ |
| Attaques radio | 1 000 000 $ | – |
| Accès physique | 500 000 $ | 200 000 $ |
| Évasion du sandbox d’une app | 500 000 $ | – |
| Bypass Gatekeeper | 100 000 $ | – |
| iCloud | 1 000 000 $ | – |
| Chaîne WebKit | 300 000 $ | – |
Avec plus de 2,35 milliards d’appareils Apple actifs, la marque veut dissuader les hackers de vendre leurs failles à des groupes malveillants. Découvrir une faille d’une telle envergure n’est pas donné à tout le monde, mais les personnes visées par le programme bug bounty sont celles qui auraient pu se laisser tenter par la publication d’outils de jailbreak. Avec de telles récompenses, elles ont désormais toutes les raisons du monde de communiquer à Apple leurs découvertes.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !