À l’occasion de la conférence Black Hat, Apple annonce du nouveau pour son « bug bounty », à savoir son programme de récompense pour toute découverte d’une faille de sécurité. Le montant maximum était de 200 000 dollars jusqu’à présent. Apple passe à un million de dollars maintenant.

En réalité, Apple a fait un effort de manière générale : les montants pour les différents paliers ont eux aussi augmenté. Par exemple, Apple offre désormais 100 000 dollars pour un accès non autorisé aux données d’un compte iCloud, là où Apple proposait 50 000 dollars auparavant. Pour toucher un million de dollars, il faut réussir à faire une attaque réseau sans l’interaction de l’utilisateur et viser le kernel. Tous les montants sont affichés ci-dessus.

Un autre élément important est la disponibilité du programme. Jusqu’à présent, Apple limitait son bug bounty à quelques chercheurs triés sur le volet. Désormais, n’importe qui peut toucher de l’argent en cas de découverte d’une faille de sécurité, ce qui devrait pousser les hackers et chercheurs en sécurité à fouiner un peu plus dans les systèmes d’Apple. C’est un bon point pour nous autres utilisateurs, puisque nous aurons une meilleure sécurité.

Apple annonce que son bug bounty est disponible pour iCloud, iOS, iPadOS, tvOS, macOS et watchOS, là où il était seulement pour iOS jusqu’à présent. Enfin, Apple va fournir des iPhone « pré-jailbreakés » à certains chercheurs leur donnant certains accès non disponibles avec un iPhone acheté dans le commerce. Le but est de découvrir d’autres failles plus profondes dans le système. Il faudra attendre l’année prochaine pour avoir ces iPhone spéciaux.