À ce jour, Apple a versé près de 20 millions de dollars aux chercheurs en sécurité dans le cadre de son propre programme de primes aux bogues. Cela a commencé en 2019. La société a également réorganisé la plate-forme existante de primes de bogues, qui contiendra également plus d’informations sur les portées.
Apple a son site web pour les chercheurs externes de bug bounty complètement remanié, bien que la page publique contienne des informations relativement rares par rapport à de nombreuses autres plates-formes de primes de bogues propriétaires. Aussi sur le nouveau site est la récompense maximale a augmenté. Cela s’applique à le mode verrouillage dans iOS 16 et macOS 13. Lockdown s’adresse aux utilisateurs préoccupés par les cyberattaques ciblées, tels que les militants des droits de l’homme, les journalistes ou les politiciens. Les chercheurs qui peuvent contourner sa sécurité peuvent recevoir jusqu’à deux millions de dollars en récompense d’Apple. Le montant maximum pour la possibilité d’exécuter du code dans le noyau sans intervention de l’utilisateur est toujours d’un maximum d’un million de dollars.
Apple écrit dans un article de blog d’accompagnement qu’il a déjà versé “près de 20 millions de dollars” en récompenses depuis le début du programme de primes aux bogues. Le salaire moyen est de 40 000 $. Dans 20 cas, Apple a payé plus de cent mille dollars pour une vulnérabilité. Apple a rendu public son programme de primes aux bogues en 2019. Cela en a fait l’une des dernières grandes entreprises technologiques à lancer un programme de récompenses.
La croissance est “l’une des plus importantes de l’histoire de l’industrie”, selon Apple, mais elle n’a pas été sans lutte. Apple a été critiqué pour son programme de primes de bogues dans le passé. Plusieurs fois, les chercheurs ont mis en ligne des détails sur les vulnérabilités trouvées, car ils n’avaient souvent aucune réponse d’Apple. Aussi les chercheurs en sécurité avec qui Tweakers a parlé plus tôt raconter des histoires similaires ; les chercheurs en sécurité d’Apple ont souvent une mauvaise audition et ne savent pas exactement ce qui est fait de leurs rapports.
Apple ne reconnaît pas immédiatement ce problème dans son article de blog, mais indique qu’il répond désormais plus rapidement aux notifications. “Parfois, nous avons reçu beaucoup plus de candidatures que prévu, nous avons donc augmenté notre équipe et nous nous sommes assurés de pouvoir effectuer un premier examen de chaque rapport dans les deux semaines, et la plupart dans les six jours”, écrit la société. Cela permet également aux pirates de transmettre plus facilement les signalements. Vous pouvez le faire via le site Web en vous connectant avec un identifiant Apple. Les chercheurs arrivent ensuite sur une page où ils voient une mise à jour de l’état de leur rapport et où ils peuvent contacter Apple directement.
À partir de fin novembre, il sera également possible pour les chercheurs de participer au Security Research Device Program. Ce sont iPhones spéciaux pour les chercheurs en sécurité. Cela leur facilite la recherche, mais le programme pour obtenir ces appareils a toujours été très limité.