Apple a officiellement ouvert son programme Bug Bounty à tous les chercheurs en sécurité, après avoir annoncé cette nouvelle lors du Black Hat à Las Vegas en début d’année.
Avant aujourd’hui, le programme Bug Bounty d’Apple n’était accessible que sur invitation et aucun appareil autre qu’iOS n’était inclus. Comme indiqué par ZDNet, à partir d’aujourd’hui, tout chercheur en sécurité qui trouve des bugs dans iOS, macOS, tvOS, watchOS ou iCloud aura le droit de recevoir un paiement en espèces après avoir révélé la vulnérabilité à Apple.
Apple a également augmenté la récompense pour les chercheurs qui découvrent des exploits, la faisant passer de 200 000 à 1,5 million de dollars en fonction de la nature du bug révélé. Par exemple, l’exécution de code de noyau zéro-clic conduira à la récompense maximale.
De plus, Apple dit qu’elle ajoutera un bonus de 50% en plus du paiement standard pour les bugs trouvés dans le logiciel bêta, car cela permet à l’entreprise de résoudre le problème avant que la version du système d’exploitation ne devienne publique. Le même bonus est offert pour les soi-disant « bugs de régression » : ce sont des buts qu’Apple a corrigés dans le passé mais qui ont été accidentellement réintroduits dans une version ultérieure du logiciel.
Apple a publié plus d’informations sur son site Web, où vous trouverez des détails sur le programme de Bug Bounty, ainsi que la totalité des récompenses offertes aux chercheurs en fonction des exploits découverts.
Lors de la soumission des rapports, les chercheurs doivent inclure une description détaillée du problème, une explication de l’état du système lorsque l’exploit est actif et des informations suffisantes pour permettre à Apple de reproduire le problème de manière fiable.
L’année prochaine, Apple prévoit de fournir des iPhone spéciaux à certains développeurs et chercheurs en sécurité. Ces iPhone offrent un accès plus approfondi aux logiciels et au système d’exploitation et facilitent la découverte des vulnérabilités.
Ces iPhone seront fournis dans le cadre du prochain programme de recherche sur la sécurité d’Apple, qui vise à encourager d’autres chercheurs en sécurité à divulguer les vulnérabilités, tout en assurant une plus grande sécurité pour les clients finaux.
