Apple a annoncé une « évolution majeure » de son programme Apple Security Bounty. La firme de Cupertino indique avoir déjà versé plus de 35 millions de dollars à plus de 800 chercheurs en sécurité.
Dans son annonce, Apple présente le « prochain chapitre majeur » de ce programme, avec l’augmentation du montant maximal de la récompense à 2 millions de dollars pour des « chaînes d’exploitation pouvant atteindre des objectifs similaires à ceux des attaques de logiciels espions sophistiqués ». Cette récompense est décrite comme un « montant sans précédent dans l’industrie » et le plus élevé proposé par un programme de primes.
Les récompenses pour d’autres catégories, comme les découvertes liées à iCloud et Gatekeeper, sont également doublées ou augmentées de manière significative. Par exemple, une récompense de 100 000 dollars sera accordée pour un contournement complet de Gatekeeper, tandis qu’un accès non autorisé à iCloud pourra rapporter jusqu’à 1 million de dollars, aucune exploitation réussie n’ayant été démontrée jusqu’à présent dans ces catégories.
Apple a également élargi les catégories de primes pour inclure de nouvelles surfaces d’attaque. Cela inclut des évasions de sandbox WebKit à un niveau de 300 000 dollars et des exploits de proximité sans fil jusqu’à 1 million de dollars.
Une autre initiative mentionnée par Apple est l’introduction des Target Flags, un moyen pour les chercheurs de démontrer objectivement l’exploitabilité de certaines catégories de primes. Les rapports soumis avec ces indicateurs permettront de bénéficier d’une accélération des récompenses, qui seront traitées immédiatement après la réception et la vérification de la recherche, même avant qu’une correction soit disponible.
Enfin, Apple a annoncé qu’elle fournirait 1 000 appareils iPhone 17 à des organisations de la société civile capables de les destiner à des utilisateurs à risque, notamment des membres de cette société pouvant être ciblés par des logiciels espions.
Alors qu’elle préparait un don de 10 millions de dollars en 2022 en soutien à des organisations enquêtant sur des attaques par logiciels espions, Apple met désormais en place une initiative spécifique avec l’iPhone 17, intégrant la fonctionnalité Memory Integrity Enforcement, une avancée phare en matière de sécurité informatique.
Ces mises à jour entreront en vigueur en novembre 2025, date à laquelle Apple publiera également un récapitulatif détaillé des nouvelles catégories et récompenses sur son site de recherche en sécurité.
