Apple annonce une prime de 2 millions de dollars pour les failles "complètes"

Apple a revu son programme de prime aux bogues, introduit en 2016, doublant la récompense maximale actuelle à 2 millions de dollars pour les exploits atteignant la sophistication des attaques de logiciels espions mercenaires, dixit la firme. Au départ, le plafond était de 200 000 dollars.

Avec des bonus pour les contournements du mode isolement et les vulnérabilités trouvées dans les logiciels bêta, les paiements totaux pourraient même dépasser les 5 millions de dollars, ce qu'Apple affirme être le montant le plus élevé proposé par un programme de récompenses.

Un programme plus dur, mais plus rémunérateur

Le programme mis à jour met davantage l'accent sur les chaînes d'exploits complètes plutôt que sur les vulnérabilités individuelles, reflétant la réalité des attaques réelles qui combinent plusieurs failles. Les récompenses pour les vecteurs d'entrée à distance ont été considérablement augmentées, tandis que les catégories moins courantes dans les attaques réelles recevront des paiements réduits.

Apple introduit les "Target Flags", inspirés des jeux de capture de drapeau. Les chercheurs peuvent capturer un drapeau pour prouver le niveau d'accès obtenu, comme l'exécution de code ou les capacités de lecture/écriture arbitraires. Les drapeaux vérifiés permettent une notification immédiate de l'attribution de la prime, avec des paiements effectués lors du prochain cycle, éliminant l'attente d'une correction logicielle.

Nous doublons notre récompense maximale à 2 millions de dollars pour les chaînes d'exploitation permettant d'atteindre des objectifs similaires à ceux des attaques sophistiquées menées par des logiciels espions mercenaires. Il s'agit d'un montant sans précédent dans le secteur et de la plus importante récompense offerte par un programme de prime à notre connaissance. De plus, notre système de bonus, qui offre des récompenses supplémentaires pour les contournements du mode Verrouillage et les vulnérabilités découvertes dans les logiciels bêta, peut plus que doubler cette récompense, avec un paiement maximal supérieur à 5 millions de dollars. Nous doublons ou augmentons également de manière significative les récompenses dans de nombreuses autres catégories afin d'encourager des recherches plus intensives. Cela inclut 100 000 dollars pour un contournement complet de Gatekeeper et 1 million de dollars pour un accès non autorisé à iCloud, car aucune exploitation réussie n'a été démontrée à ce jour dans ces deux catégories.

Nos catégories de primes s'élargissent afin de couvrir encore plus de surfaces d'attaque. Nous récompensons notamment les échappements de sandbox WebKit en un clic avec jusqu'à 300 000 dollars, et les exploits de proximité sans fil sur n'importe quelle radio avec jusqu'à 1 million de dollars.

Nous introduisons les Target Flags, un nouveau moyen pour les chercheurs de démontrer objectivement l'exploitabilité de certaines de nos principales catégories de primes, notamment l'exécution de code à distance et les contournements de transparence, consentement et contrôle (TCC), et d'aider à déterminer l'éligibilité à une prime spécifique. Les chercheurs qui soumettent des rapports avec des Target Flags pourront bénéficier de primes accélérées, qui sont traitées immédiatement après réception et vérification de la recherche, avant même qu'un correctif ne soit disponible.

Effectif à partir de novembre 2025, le programme s'élargit pour inclure les échappements de sandbox WebKit en un clic (300 000 $) et les exploits de proximité sans fil via n'importe quelle onde radio (1 million de $). Un contournement complet de Gatekeeper sur macOS rapporte désormais 100 000 $.

Plus d'informations sont disponibles sur le site de recherche en sécurité d'Apple. Depuis 2020, Apple assure avoir versé plus de 35 millions de dollars à plus de 800 chercheurs via ce programme.