Un million de dollars. Tel est le montant qu’Apple est désormais prêt à débourser pour récompenser quiconque lui signalera une faille de sécurité dans l’un de ses logiciels et services. Cette nouvelle échelle des primes a été annoncée lors de l’édition 2019 de la Black Hat, une conférence sur la sécurité informatique organisée chaque année à Las Vegas.
Ce million de dollars est évidemment un plafond : pour atteindre ce palier, il faut que la vulnérabilité détectée soit d’une gravité extrême et relativement simple à exploiter. Si la brèche est moins critique, Apple offrira une récompense moindre, mais qui pourra tout de même atteindre des dizaines ou des centaines de milliers de dollars selon le risque et la nature du bug en cause.
Apple quintuple la récompense maximale
Mais plus encore que le montant des gains, c’est l’élargissement du programme de chasse aux bugs qu’il faut surtout noter. Désormais, rapporte The Verge, celui-ci couvre l’ensemble de son écosystème : macOS, iPadOS, tvOS, watchOS, iOS et iCloud. Par ailleurs, n’importe quel spécialiste en sécurité informatique peut désormais solliciter une prime, s’il satisfait les critères d’éligibilité.
La chasse aux bugs est une pratique désormais très répandue. Son principe est d’inviter les talents extérieurs à participer à la sécurisation d’un logiciel ou d’un service. Celui-ci doit repérer tout défaut et en faire un signalement à l’entreprise ou l’organisation, selon un protocole bien précis. Si le cadre est bien respecté, une récompense est accordée, qui est plus ou moins élevée selon la gravité de ce qui est signalé.
Auparavant, Apple, quand il avait annoncé en 2016 la mise en place de son « bug bounty », la portée comme l’échelle des gains étaient beaucoup plus resserrées. Tout l’écosystème de la firme de Cupertino n’était pas concerné et l’on ne pouvait toucher au mieux « que » 200 000 dollars. En outre, Apple n’avait ouvert son programme qu’à un nombre restreint de spécialistes.
Un investissement nécessaire
La décision prise par Apple de renforcer son programme de chasse aux bugs a sans doute été en partie prise par une situation ubuesque survenue en début d’année : un expert en sécurité informatique, qui avait repéré une faille sur macOS, avait refusé d’en partager les détails avec l’entreprise américaine parce que celle-ci ne prévoyait aucune récompense pour ce type de découverte.
Cela représente évidemment un investissement important pour Apple, mais le coût est en principe moins élevé que celui qu’il faudrait assumer en cas de faille de sécurité qui serait exploitée pour conduire des attaques informatiques contre la clientèle de l’entreprise (vol de données, neutralisation des terminaux, etc.). Sans parler de l’image de marque qui s’en trouverait aussi dégradée.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !