La nouvelle saison d’écrasement des insectes chez Apple est ouverte, et la récompense peut atteindre 1,5 million de euros. À partir de ce vendredi (20), les chercheurs en sécurité qui trouvent des bogues dans l’un des systèmes de la société (iOS, macOS, tvOS, watchOS ou iCloud) peuvent soumettre leurs rapports à Apple et, qui sait, devenir millionnaires.
Mais, bien sûr, il y a certaines règles à suivre et selon le type de faute (ou le nombre de fautes) que l’on constate, cette récompense peut varier. Il convient de mentionner que le programme de suppression des bugs est public (avant qu’il ne soit nécessaire d’être invité) et que les utilisateurs non iOS peuvent également y participer.
En ce qui concerne les règles de présentation des rapports et l’éligibilité à la bourse, les chercheurs doivent bien détailler le problème, en plus de décrire l’état du système au moment où la défaillance s’est produite. Il est également nécessaire de donner suffisamment d’informations pour qu’Apple puisse reproduire le bug de manière fiable.
Calcul des bourses
En plus de rendre le programme public, Apple a également augmenté le montant de la récompense (pour l’échec constaté) de 200 000 euros à 1 million de euros – en fonction, bien sûr, de la complexité et de la gravité de ce bogue. La récompense d’un million, par exemple, va aux bogues trouvés sans interaction de l’utilisateur (zéro-clic) avec l’exécution de code dans le noyau.
Une prime de 50 % sera également ajoutée à la récompense standard si ces défauts sont constatés dans les versions bêta des systèmes. Le fait de trouver ces bogues avant permettrait à l’entreprise de les corriger avant de livrer le produit aux utilisateurs finaux. Ce bonus sera également versé pour les bugs récurrents, c’est-à-dire les bugs qui se sont reproduits même si Apple les a déjà corrigés avec un patch.
Les chercheurs peuvent recevoir des iPhones de test
Apple prévoit d’étendre le programme de suivi des bogues jusqu’en 2020. Pour ce faire, l’entreprise doit fournir aux chercheurs en sécurité et aux pirates informatiques sélectionnés des versions de développement d’iPhones – ou même des dispositifs personnalisés permettant un accès plus profond au système d’exploitation.
De cette manière, il devrait être plus pratique de détecter les défauts avant que le produit n’atteigne les consommateurs. C’est un bon moyen d’encourager davantage de chercheurs de qualité à “geler” la sécurité. Pour l’une des marques les plus appréciées au monde, il est crucial d’essayer d’anticiper les problèmes critiques.