Apple décide finalement d’ouvrir son programme de bug bounty de manière publique, pour permettre aux chercheurs en cybersécurité de détecter de potentiels bugs sur l’ensemble de ses appareils.

Un programme de bug bounty plus large

Jusqu’ici, Apple avait mis en place un programme de bug bounty très restrictif, qui n’acceptait que certains chercheurs, sur invitation, et qui ne permettait de découvrir que les bugs liés à l’iOS. À partir d’aujourd’hui, la marque à la pomme étend le champ d’action de ce programme pour permettre aux chercheurs en cybersécurité de détecter des failles sur des produits comme iPadOS, macOS, watchOS, ou encore l’iCloud. L’entreprise a également fait passer la prime maximale de 200 000 dollars (180 000 euros) à 1,5 million de dollars (1,35 millions d’euros), en fonction de la complexité de la faille découverte.

L’ensemble des règles de ce nouveau programme de bug bounty sont d’ores et déjà disponibles sur le site d’Apple. Le détail sur les récompenses escomptées est également inscrit, gage de motivation pour les chercheurs en cybersécurité. Attention, les règles sont strictes et Apple décide de placer la barre assez haute. Les chercheurs devront soumettre des rapports clairs pour que les équipes d’Apple valident leurs recherches. Parmi les éléments que doivent fournir les chercheurs, figurent les suivants :

“Une description détaillée des problèmes signalés. Toutes les conditions préalables et les étapes pour amener le système dans un état touché. Un exploit raisonnablement fiable pour la question faisant l’objet du rapport. Assez d’information pour qu’Apple puisse reproduire le problème. L’ensemble des bugs de sécurité étant nouveaux, affectant plusieurs plateformes, travaillant sur les derniers logiciels lancés par Apple, et qui ont un impact sur des composants sensibles, donneront aux chercheurs une chance de remporter la récompense de 1,5 million de dollars”.

Les bugs des versions bêta en priorité

Dans le cadre de ce nouveau programme de bug bounty, les vulnérabilités découvertes dans les versions bêta permettront aux chercheurs de bénéficier d’un bonus de 50% supplémentaire. En effet, à ce stade de développement, les équipes de l’entreprise peuvent encore faire des modifications significatives. La modification d’une version bêta n’aura pas le même impact que la modification d’une fonctionnalité déjà disponible. Acteur engagé pour la sécurité, Apple renforce un peu plus son programme de bug bounty et tente de trouver les meilleures solutions pour conserver son image de leader en matière de cybersécurité et de confidentialité de la vie privée de ses utilisateurs.