Apple a revu de fond en comble son programme de chasse aux bugs. Désormais, tout son écosystème est éligible et n’importe qui peut participer. Dans le même temps, la récompense maximale a été multipliée par cinq.

Un million de dollars. Tel est le montant qu’Apple est désormais prêt à débourser pour récompenser quiconque lui signalera une faille de sécurité dans l’un de ses logiciels et services. Cette nouvelle échelle des primes a été annoncée lors de l’édition 2019 de la Black Hat, une conférence sur la sécurité informatique organisée chaque année à Las Vegas.

Ce million de dollars est évidemment un plafond : pour atteindre ce palier, il faut que la vulnérabilité détectée soit d’une gravité extrême et relativement simple à exploiter. Si la brèche est moins critique, Apple offrira une récompense moindre, mais qui pourra tout de même atteindre des dizaines ou des centaines de milliers de dollars selon le risque et la nature du bug en cause.

Système de fichiers d'iPadOS // Source : Apple

Système de fichiers d'iPadOS

Source : Apple

Apple quintuple la récompense maximale

Mais plus encore que le montant des gains, c’est l’élargissement du programme de chasse aux bugs qu’il faut surtout noter. Désormais, rapporte The Verge, celui-ci couvre l’ensemble de son écosystème : macOS, iPadOS, tvOS, watchOS, iOS et iCloud. Par ailleurs, n’importe quel spécialiste en sécurité informatique peut désormais solliciter une prime, s’il satisfait les critères d’éligibilité.

La chasse aux bugs est une pratique désormais très répandue. Son principe est d’inviter les talents extérieurs à participer à la sécurisation d’un logiciel ou d’un service. Celui-ci doit repérer tout défaut et en faire un signalement à l’entreprise ou l’organisation, selon un protocole bien précis. Si le cadre est bien respecté, une récompense est accordée, qui est plus ou moins élevée selon la gravité de ce qui est signalé.

Auparavant, Apple, quand il avait annoncé en 2016 la mise en place de son « bug bounty », la portée comme l’échelle des gains étaient beaucoup plus resserrées. Tout l’écosystème de la firme de Cupertino n’était pas concerné et l’on ne pouvait toucher au mieux « que » 200 000 dollars. En outre, Apple n’avait ouvert son programme qu’à un nombre restreint de spécialistes.

dark-mode-ios-une

Apple a aussi multiplié par cinq la prime maximale. // Source : Numerama

Un investissement nécessaire

La décision prise par Apple de renforcer son programme de chasse aux bugs a sans doute été en partie prise par une situation ubuesque survenue en début d’année : un expert en sécurité informatique, qui avait repéré une faille sur macOS, avait refusé d’en partager les détails avec l’entreprise américaine parce que celle-ci ne prévoyait aucune récompense pour ce type de découverte.

Cela représente évidemment un investissement important pour Apple, mais le coût est en principe moins élevé que celui qu’il faudrait assumer en cas de faille de sécurité qui serait exploitée pour conduire des attaques informatiques contre la clientèle de l’entreprise (vol de données, neutralisation des terminaux, etc.). Sans parler de l’image de marque qui s’en trouverait aussi dégradée.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !