À n’en pas douter, les programmes de bug bounty apportent des solutions fiables aux grandes entreprises informatiques. En témoignent ceux de Mozilla et Google, dont les primes dépassent même le million de dollars pour le second. Dénicher des failles jusque-là insoupçonnées permet ainsi à des chercheurs de toucher le pactole, et aux sociétés concernées de corriger une anomalie potentiellement grave. Du donnant-donnant, en somme.
Jusque-là, Apple jouait la carte de la prudence. Seule une poignée de spécialistes triée sur le volet était invitée à signaler des vulnérabilités liées au système d’exploitation mobile iOS. Un cadre rigide désormais plus souple au regard des dernières mesures mises en place par la firme d’outre-Atlantique. Cette dernière ouvre en effet son programme au grand public, non sans élargir la liste des OS éligibles à une prime financière, rapporte ZDNet.
Des critères stricts
La page dédiée disponible sur le site officiel confirme la nouvelle, bien que le groupe avait profité du Black Hat 2019, en août, pour dévoiler ses intentions. À quoi doivent donc s’attendre les chercheurs en sécurité ? À des critères relativement stricts et des récompenses élevées. À titre d’exemple, un rapport contenant un POC (Proof of Concept) basique au lieu d’un exploit fonctionnel impactera de 50 % la gratification finale.
Le groupe californien énumère ainsi plusieurs conditions à respecter à la lettre :
- Une description détaillée de l’anomalie reportée.
- Les prérequis et les étapes nécessaires pour que le système soit impacté.
- Une faille suffisamment grave pour que le problème soit signalé.
- Une quantité d’informations suffisante pour qu’Apple puisse reproduire l’incident.
Qui veut gagner des millions ?
Aussi, la société de Cupertino suscite un intérêt tout particulier pour les failles impactant ses appareils et logiciels grand public les plus récents. Tout comme celles qui affectent plusieurs plateformes et touchent des composants sensibles. Les vulnérabilités liées aux fonctionnalités et au code récemment ajoutés dans des versions bêta adressées aux développeurs et au grand public font aussi partie du lot.
Les attaques zero click (où l’utilisateur est infecté sans aucune interaction de sa part) ont forcément de quoi inquiéter les équipes d’ingénieurs. C’est pourquoi la multinationale offre des rémunérations de 250 000 à un million de dollars pour ce type de hack (l’intégralité du barème des récompenses est à consulter sur ce lien) . En revanche, le chercheur se doit de fournir une chaîne d’exploitation complète pour espérer toucher le pactole. Voilà Apple fin prêt à contrecarrer de potentielles futures cyberattaques : aux spécialistes du domaine de mettre la main à la patte.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.