Apple procède à une refonte de son programme de chasse aux bugs (bug bounty), doublant la récompense maximale à 2 millions de dollars. Cette nouvelle structure, qui pourra dépasser les 5 millions de dollars avec les bonus (mode Isolement et bêtas), vise à encourager la découverte de chaînes de vulnérabilités complexes, similaires à celles utilisées par les logiciels espions les plus sophistiqués.

Apple Logo Cadenas Securite

Une nouvelle approche sur les failles de sécurité

La principale évolution du bug bounty d’Apple est un changement de philosophie. Plutôt que de récompenser des failles de sécurité individuelles, le fabricant met désormais l’accent sur les chaînes de vulnérabilités complètes. Cette approche reflète bien mieux la réalité des cyberattaques modernes qui combinent généralement plusieurs failles pour atteindre leur objectif.

En conséquence, les récompenses pour les failles de sécurité permettant une entrée à distance dans un système ont été substantiellement augmentées. À l’inverse, les catégories qui ne sont pas couramment exploitées lors d’attaques réelles verront leurs primes diminuer.

Pour fluidifier le processus, Apple introduit un nouveau système baptisé « Target Flags », inspiré des compétitions de cybersécurité. Lorsqu’un chercheur réussit à exploiter une faille, il peut capturer un « drapeau » numérique qui prouve de manière irréfutable le niveau d’accès qu’il a obtenu (exécution de code, lecture de fichiers, etc).

Ce système représente une avancée majeure pour les chercheurs. Une fois le drapeau vérifié par Apple, ils reçoivent une notification immédiate et le paiement est programmé pour le cycle suivant. Ils n’ont donc plus à attendre la sortie du correctif logiciel, une attente qui pouvait auparavant durer plusieurs mois.

La nouvelle grille des récompenses en détail

Le programme mis à jour, qui entrera en vigueur en novembre 2025, étend également ses catégories. Un contournement de Gatekeeper sur macOS rapportera désormais 100 000 dollars, tandis qu’une évasion de la sandbox de WebKit en un clic pourra atteindre 300 000 dollars. Depuis le lancement public du programme en 2020, Apple affirme avoir versé plus de 35 millions de dollars à plus de 800 chercheurs.

Voici la nouvelle structure des primes principales :

  • Chaîne zéro-clic (attaque à distance sans aucune interaction de l’utilisateur) : 2 millions de dollars (contre 1 million de dollars auparavant).
  • Chaîne un-clic (attaque à distance avec une seule interaction de l’utilisateur) : 1 million de dollars (contre 250 000 dollars auparavant).
  • Attaque de proximité sans fil (attaque nécessitant une proximité physique avec l’appareil) : 1 million de dollars (contre 250 000 dollars auparavant).
  • Accès physique à l’appareil (attaque nécessitant un accès physique à un appareil verrouillé) : 500 000 dollars (contre 250 000 dollars auparavant).
  • Évasion de la sandbox d’une application (attaque permettant de passer de la sandbox à un contournement SPTM) : 500 000 dollars (contre 150 000 dollars auparavant).