Apple a revu de fond en comble son programme de chasse aux bugs. Désormais, tout son écosystème est éligible et n'importe qui peut participer. Dans le même temps, la récompense maximale a été multipliée par cinq.

Un million de dollars. Tel est le montant qu’Apple est désormais prêt à débourser pour récompenser quiconque lui signalera une faille de sécurité dans l’un de ses logiciels et services. Cette nouvelle échelle des primes a été annoncée lors de l’édition 2019 de la Black Hat, une conférence sur la sécurité informatique organisée chaque année à Las Vegas.

Ce million de dollars est évidemment un plafond : pour atteindre ce palier, il faut que la vulnérabilité détectée soit d’une gravité extrême et relativement simple à exploiter. Si la brèche est moins critique, Apple offrira une récompense moindre, mais qui pourra tout de même atteindre des dizaines ou des centaines de milliers de dollars selon le risque et la nature du bug en cause.

Le nouveau système d’exploitation pour l’iPad, iPadOS, est aussi concerné. // Source : Apple

Apple quintuple la récompense maximale

Mais plus encore que le montant des gains, c’est l’élargissement du programme de chasse aux bugs qu’il faut surtout noter. Désormais, rapporte The Verge, celui-ci couvre l’ensemble de son écosystème : macOS, iPadOS, tvOS, watchOS, iOS et iCloud. Par ailleurs, n’importe quel spécialiste en sécurité informatique peut désormais solliciter une prime, s’il satisfait les critères d’éligibilité.

La chasse aux bugs est une pratique désormais très répandue. Son principe est d’inviter les talents extérieurs à participer à la sécurisation d’un logiciel ou d’un service. Celui-ci doit repérer tout défaut et en faire un signalement à l’entreprise ou l’organisation, selon un protocole bien précis. Si le cadre est bien respecté, une récompense est accordée, qui est plus ou moins élevée selon la gravité de ce qui est signalé.

Auparavant, Apple, quand il avait annoncé en 2016 la mise en place de son « bug bounty », la portée comme l’échelle des gains étaient beaucoup plus resserrées. Tout l’écosystème de la firme de Cupertino n’était pas concerné et l’on ne pouvait toucher au mieux « que » 200 000 dollars. En outre, Apple n’avait ouvert son programme qu’à un nombre restreint de spécialistes.

Apple a aussi multiplié par cinq la prime maximale. // Source : Numerama

Un investissement nécessaire

La décision prise par Apple de renforcer son programme de chasse aux bugs a sans doute été en partie prise par une situation ubuesque survenue en début d’année : un expert en sécurité informatique, qui avait repéré une faille sur macOS, avait refusé d’en partager les détails avec l’entreprise américaine parce que celle-ci ne prévoyait aucune récompense pour ce type de découverte.

Cela représente évidemment un investissement important pour Apple, mais le coût est en principe moins élevé que celui qu’il faudrait assumer en cas de faille de sécurité qui serait exploitée pour conduire des attaques informatiques contre la clientèle de l’entreprise (vol de données, neutralisation des terminaux, etc.). Sans parler de l’image de marque qui s’en trouverait aussi dégradée.

Partager sur les réseaux sociaux