Apple propose de l’année dernière un programme baptisé « Bug Bounty » lequel vise à payer pour les découvertes de failles plus ou importantes. Les rémunérations proposées permettent d’encourager les experts en sécurité trouver des bugs dans iOS et macOS.

Seulement, un problème se pose pour ces experts qui ne sont justement pas convaincus par les montants avancés par Apple. Selon l’importance du bug, le prix varie entre 25 000 et 200 000 dollars, là où d’autres entreprises vont jusqu’à payer 1 million de dollars.

Lors de la présentation, Apple a publié une liste des montants proposés dans son programme « Bug Bounty » :

  • Secure boot firmware : $200,000
  • Extraction of confidential material protected by the Secure Enclave Processor : $100,000
  • Execution of arbitrary code w/kernel privileges : $50,000
  • Unauthorized access to iCloud account data on Apple Servers : $50,000
  • Access from a sandboxed process to user data outside of that sandbox : $25,000

Certains chercheurs estiment que si les sommes étaient plus importantes, cela permettrait à Apple de recevoir régulièrement des rapports de nouveaux bugs qu’elle corrigerait rapidement, ce qui permettraient alors de mieux sécuriser iOS et macOS.

À titre d’exemple, la société Zerodium a déjà acheté des exploits de chercheurs à 1,5 million de dollars, qu’elle revend ensuite plus cher à certains clients. C’est également le cas d’Exode Intelligence qui offre 500 000 $ pour un bug dans le Secure boot firmware.

Apple devrait revoir ses rémunérations à la hausse, si elle souhaite que les experts en sécurité se penchent un peu sur le cas de ses systèmes.

Partager un commentaire