Apple était présent à Black Hat 2019 pour annoncer l’extension de son programme de récompenses pour les experts en sécurité qui trouvent des bogues dans iOS : désormais, les récompenses pourraient atteindre 1 million de euros, en fonction de la gravité de la faille identifiée.
En fait, l’extension du programme va au-delà de l’écosystème iOS. D’ici la fin de l’année, Apple récompensera également les notifications de vulnérabilité sur des plateformes telles que macOS, watchOS, tvOS et iCloud.
En outre, le programme sera ouvert à tout spécialiste intéressé, ne nécessitant plus d’invitation à participer.
Mais ce qui attire vraiment l’attention, c’est l’extension de la récompense maximale à 1 million de euros. Par défaut, Apple avait travaillé avec la valeur maximale de 200 000 euros ? et a été critiquée pour cela, après tout, les bogues signalés pouvaient la débarrasser de pertes bien plus importantes.
Il est évident que les montants versés varient en fonction de la gravité du problème. Le montant d’un million de euros sera versé au chercheur qui trouve un bogue donnant un accès complet à l’iPhone à partir d’un code exécuté au niveau du noyau de l’iOS, sans que l’utilisateur ait à prendre de mesures pour le faire.
D’autres récompenses comprennent des paiements allant jusqu’à 100 000 euros pour les défaillances de l’iCloud, jusqu’à 250 000 euros pour les vulnérabilités critiques exploitées par application installée sur le système, et jusqu’à 500 000 euros pour les attaques de réseau, mais sans interaction de l’utilisateur.
En plus de récompenses accrues, Apple va créer un programme qui fournira des iPhones déverrouillés à des experts sélectionnés afin de leur permettre d’identifier plus facilement les pannes.
Des dispositifs de ce type ont longtemps été utilisés par les développeurs d’Apple précisément pour rechercher des vulnérabilités. Ils ont certaines protections désactivées et apportent des fonctionnalités qui facilitent la recherche, comme l’accès à la racine et les outils de débogage.
