Les primes de sécurité d’Apple atteignent 2 millions de dollars, mais un bug critique n’a rapporté que 1 000 $

Apple incite les chercheurs en sécurité à identifier et à signaler les vulnérabilités de ses appareils et applications, offrant des primes allant jusqu’à 2 millions de dollars pour leurs découvertes. Pourtant, un chercheur a récemment signalé une vulnérabilité évaluée comme critique dans Safari, notée 9.8 sur 10, et n’a reçu qu’une prime de 1 000 $.

Un cas de prime dérisoire

En 2022, Apple avait fait évoluer son programme de primes de sécurité, affirmant que la prime moyenne payée était de 40 000 $, avec des paiements six chiffres pour des problèmes à fort impact. L’une des primes les plus significatives a été de 175 000 $ versées à un étudiant ayant réussi à pirater les caméras de Mac et d’iPhone.

Une vulnérabilité critique

Le chercheur, connu sous le pseudonyme RenwaX23, a révélé un trou de sécurité universel de script intersites (UXSS) dans Safari, permettant un attaquant de se faire passer pour un utilisateur et d’accéder à ses données. Ce trou, enregistré sous le nom de CVE-2025-30466, a été corrigé dans la mise à jour de Safari 18.4, publiée avec les mises à jour iOS/iPadOS 18.4 et macOS 15.4 en mars, mais le montant versé pour sa découverte s’est avéré dérisoire : 1 000 $.

Une évaluation de risque discutable

Apple précise que l’interaction avec l’utilisateur est un critère pris en compte pour déterminer le montant des primes. Cependant, d’autres chercheurs rapportent que certains bugs qui devraient rapporter des montants plus élevés, comme 50 000 $, n’ont été rémunérés qu’à hauteur de 5 000 $. Cette disparité soulève des questions sur la méthodologie de notation d’Apple en matière de sécurité.

Des primes trop basses ?

Il semble donc que l’estimation d’Apple des risques d’exploitation réels ait conduit à une prime réservée de 1 000 $. Toutefois, une telle somme risque d’inciter des chercheurs à vendre leurs découvertes sur le marché noir au lieu de les rapporter à la firme de Cupertino. À l’heure actuelle, les primes pour les vulnérabilités critiques peuvent atteindre jusqu’à 5 millions de dollars chez d’autres entreprises souhaitant exploiter ces failles.