Apple a annoncé une « évolution majeure » de son programme de récompenses en matière de sécurité. La société révèle avoir déjà versé plus de 35 millions de dollars à plus de 800 chercheurs en sécurité.
Des primes doublées pour des découvertes critiques
Dans son annonce d’aujourd’hui, Apple met en avant le « prochain chapitre » de ce programme, avec la promesse de doubler la prime maximale à 2 millions de dollars pour les « chaînes d’exploitation » qui peuvent atteindre des objectifs similaires à ceux des attaques sophistiquées de logiciels espions.
Cette prime de 2 millions de dollars est considérée comme un « montant sans précédent dans l’industrie et le versement le plus conséquent offert par un programme de récompenses ». Apple augmente également les montants pour d’autres catégories, dont les découvertes liées à iCloud et Gatekeeper :
Nous doublons notre prime maximale à 2 millions de dollars pour les chaînes d’exploitation qui peuvent atteindre des objectifs similaires à ceux des logiciels espions sophistiqués. Aucun exploit n’a été démontré à ce jour dans ces catégories, et nous doublons ou augmentons significativement les récompenses dans de nombreuses autres catégories pour encourager une recherche plus intensive. Cela inclut 100 000 dollars pour un contournement complet de Gatekeeper et 1 million de dollars pour un accès non autorisé à iCloud.
Nouvelles catégories et outils pour les chercheurs
Un autre changement important annoncé par Apple est l’expansion des catégories de récompenses pour couvrir de nouvelles surfaces d’attaque :
Nos catégories de récompenses s’élargissent pour couvrir encore plus de surfaces d’attaque. Nous récompensons notamment les évasions de la sandbox WebKit en un clic jusqu’à 300 000 dollars, ainsi que les exploits de proximité sans fil jusqu’à 1 million de dollars.
Apple introduit également les Target Flags, qu’elle décrit comme une « nouvelle façon pour les chercheurs de démontrer objectivement l’exploitabilité pour certaines de nos principales catégories de récompenses » :
Nous introduisons les Target Flags, permettant aux chercheurs de démontrer de manière objective l’exploitabilité pour certaines de nos catégories de récompenses, y compris l’exécution de code à distance et les contournements de la Transparence, du Consentement et du Contrôle (TCC). Les chercheurs qui soumettent des rapports avec ces flags auront droit à des récompenses accélérées, traitées immédiatement après la réception et la vérification de leurs recherches.
Un soutien aux organisations de la société civile
Enfin, Apple s’engage à fournir 1 000 appareils iPhone 17 à des organisations de la société civile capable de les distribuer à des utilisateurs à risque, notamment à ceux qui pourraient être ciblés par des logiciels espions :
En 2022, nous avons accordé une subvention de cybersécurité sans précédent de 10 millions de dollars en soutien aux organisations de la société civile qui enquêtent sur des attaques de logiciels espions. Maintenant, nous prévoyons une initiative spéciale incluant l’iPhone 17 avec une protection intégrée de la mémoire, que nous croyons être la mise à jour la plus significative pour la sécurité de la mémoire dans l’histoire des systèmes d’exploitation. Pour faire bénéficier rapidement les membres de la société civile de nos protections de sécurité les plus avancées, nous fournirons 1 000 appareils iPhone 17 à des organisations qui peuvent les remettre aux utilisateurs à risque.
Les mises à jour entreront en vigueur en novembre 2025, lorsque la société publiera également le détail complet des nouvelles et élargies catégories, récompenses et bonus sur le site de recherche en sécurité d’Apple.
