Apple vient de mettre à jour les règles de son programme de primes de bogues en annonçant quelques changements majeurs lors d’un briefing lors de la conférence annuelle sur la sécurité Black Hat.
L’une des mises à jour les plus attrayantes est que Apple a énormément augmenté la récompense maximale de son programme de prime aux bogues de 200 000 USD à 1 million de dollars, ce qui constitue de loin la plus importante prime offerte par une grande entreprise de technologie pour signaler les vulnérabilités de ses produits.
Les gains de 1 million de dollars seront récompensés pour un exploit mortel grave: une vulnérabilité d’exécution de code du noyau à zéro clic permettant un contrôle complet et persistant du noyau d’un périphérique. Les exploits moins graves seront admissibles à des gains plus faibles.
Une autre mise à jour la plus attrayante est que à partir de maintenant, le programme de primes aux bogues d’Apple ne s’applique pas uniquement à la recherche de failles de sécurité dans le système d’exploitation mobile iOS, mais couvre également tous ses systèmes d’exploitation, notamment macOS, watchOS, tvOS, iPadOS et iCloud.
Le nouveau programme a été signalé pour la première fois par Forbes. À partir de l’année prochaine, Apple fournira également des iPhones pré-jailbreakés à une sélection de chercheurs en sécurité de confiance dans le cadre du programme iOS Security Research Device.
Ces appareils auront un accès beaucoup plus profond que les iPhones disponibles pour les utilisateurs quotidiens, y compris l’accès à ssh, au shell root et aux fonctionnalités de débogage avancées, permettant aux chercheurs de rechercher les vulnérabilités au niveau du shell sécurisé.
En plus de sa récompense maximale de 1 million de dollars, Apple offre également un bonus de 50% aux chercheurs qui découvrent et signalent des vulnérabilités de sécurité dans son logiciel de pré-publication (version bêta) avant sa publication, portant ainsi sa récompense maximale à 1,5 million de dollars.
Avez vous quelque chose à dire sur cet article? Commentez ci-dessous ou partagez-le avec nous sur Facebook, Twitter ou notre groupe LinkedIn.
