Actu

Trouver une faille sur iPhone peut rapporter jusqu’à 1 million de dollars

09 août 2019
Par Thomas Estimbre
Trouver une faille sur iPhone peut rapporter jusqu'à 1 million de dollars

Apple a décidé de revoir à la hausse les récompenses de son programme bug bounty. La marque à la pomme offrira jusqu’à 1 million de dollars pour la découverte d’une faille de sécurité affectant l’iPhone.

La chasse aux failles de sécurité est ouverte chez Apple et elle peut rapporter gros. La firme de Cupertino a profité de la conférence Black Hat 2019 pour annoncer l’extension de son programme bug bounty et augmenter ses récompenses. Lancé en 2016, le programme de chasse aux bugs du géant américain ne concernait qu’iOS avec des récompenses allant jusqu’à 200 000 dollars. De plus, il n’était accessible qu’à une poignée de spécialistes en sécurité. Une source de frustration pour de nombreux hackers et chercheurs qui ne pouvaient pas prétendre à une prime en cas de découverte d’une faille, par exemple sur macOS.

 © Fahim Alloul / LaboFnac
© Fahim Alloul / LaboFnac

Le bug bounty inclut désormais macOS, tvOS, watchOS, et iCloud avec une récompense maximale de 1 million de dollars. Un changement de politique qui pourrait pousser davantage de chercheurs de sécurité à signaler des vulnérabilités à Apple, indique The Verge. Jusqu’à présent, les récompenses proposées par Apple n’étaient pas jugées satisfaisantes par de nombreux hackers qui pouvaient espérer mieux en les vendant à d’autres entreprises ou sur le marché noir. Le site Motherboard rapportait en septembre dernier que la firme californienne avait également tendance à prendre son temps à payer les chercheurs rapportant des vulnérabilités.

Apple veut renforcer la sécurité d’iOS et macOS

La hausse des récompenses pourrait donc relancer la chasse aux bugs, mais le million de dollars sera réservé à un type de faille bien précis. L’agence Reuters rapporte que cette prime ne s’appliquerait que pour la découverte d’une faille permettant d’accéder à distance au noyau de l’iPhone (iOS) sans aucune action de l’utilisateur. La décision d’Apple intervient quelques jours après l’annonce par des chercheurs du Project Zero de Google de la découverte de six failles de ce type.

De nombreux géants du numérique ont mis en place des programmes de bug bounty ces dernières années. Pour Apple, qui fait de la vie privée de ses utilisateurs une priorité, la hausse des récompenses est justifiée par la nécessité de renforcer la sécurité de ses systèmes. Outre la protection des données personnelles, ces programmes visent à permettre à l’entreprise de repérer une faille avant qu’elle ne puisse être exploitée par des hackers ou gouvernement. Quant au montant des primes versées, il reste faible comparé au coût lié à l’exploitation d’une faille et aux dégâts en termes d’image de marque.

Article rédigé par
Thomas Estimbre
Thomas Estimbre
Journaliste
Pour aller plus loin