Apple offre jusqu'à 2 millions $ pour la découverte de logiciels espions de type Pegasus dans les iPhone, et pour les chaînes d'exploitation capables de mener des attaques « de niveau mercenaire ».Apple a annoncé une expansion considérable de son programme Security Bounty, le qualifiant de « prochain chapitre majeur » dans ses efforts pour renforcer la confidentialité des utilisateurs et la sécurité de sa plateforme. Le programme remanié d'Apple offrira 2 millions de dollars pour les chaînes d'exploitation capables de mener des attaques de type « logiciels espions mercenaires », soit la récompense la plus élevée jamais confirmée dans le secteur de la cybersécurité.
Avec son programme Apple Security Bounty, Apple récompense les chercheurs qui trouvent des failles de sécurité de ces produits pour aider à améliorer ses protections. En 2022, Apple a, par exemple, offert une récompense de 2 millions de dollars, le montant de récompense le plus élevé de l'industrie, aux hackers qui auraient réussi à contourner le mode Lockdown d’iOS 16. En outre, Apple a accordé une subvention de 10 millions de dollars, en plus des dommages-intérêts accordés dans le cadre du procès intenté contre NSO Group, pour soutenir les organisations qui enquêtent, exposent et préviennent les cyberattaques hautement ciblées, y compris celles créées par des entreprises privées développant des logiciels espions mercenaires parrainés par l'État.
En effet, Meta, Apple et Google mènent depuis des années une guerre contre NSO Group et d'autres fournisseurs de logiciels espions opérant à partir d'Israël. En novembre 2024, de nouveaux documents judiciaires ont révélé que le fabricant israélien de logiciels espions NSO Group a infecté des centaines, voire des dizaines de milliers d'appareils avec son tristement célèbre logiciel espion Pegasus, à l'aide d'un programme d'exploitation de WhatsApp. Cependant, Apple avait annoncé qu'elle renonçait à la bataille juridique qui l'opposait depuis un an à NSO Group pour éviter d'avoir à divulguer les informations sur les menaces qu'elle a développées au fil des ans pour lutter contre Pegasus.
Récemment, Apple a annoncé une expansion considérable de son programme Security Bounty, le qualifiant de « prochain chapitre majeur » dans ses efforts pour renforcer la confidentialité des utilisateurs et la sécurité de sa plateforme. La société a déjà versé plus de 35 millions de dollars à 800 chercheurs et double désormais sa récompense maximale pour atteindre 2 millions de dollars, un montant inégalé dans le secteur, avec des récompenses dépassant 5 millions de dollars dans certaines catégories.
Le programme remanié d'Apple offrira 2 millions de dollars pour les chaînes d'exploitation capables de mener des attaques « de niveau espionnage mercenaire », soit la récompense la plus élevée jamais confirmée dans le secteur de la cybersécurité. La société affirme que son système de bonus peut plus que doubler ce montant, portant le total des récompenses à plus de 5 millions de dollars pour ceux qui identifient des vulnérabilités permettant de contourner le mode Lockdown ou présentes dans les logiciels bêta.
En outre, Apple augmente considérablement les récompenses dans d'autres domaines hautement prioritaires : le contournement complet de Gatekeeper est désormais récompensé par une prime de 100 000 dollars, tandis qu'un accès non autorisé à iCloud peut rapporter jusqu'à 1 million de dollars — bien qu'Apple précise qu'aucune exploitation réussie n'a été démontrée à ce jour dans ces deux catégories.
Le programme élargi couvrira désormais un éventail plus large de menaces. Apple ajoute de nouvelles catégories telles que les échappements de sandbox WebKit en un clic, qui peuvent rapporter jusqu'à 300 000 dollars, et les exploits de proximité sans fil qui ciblent toute interface radio, avec des récompenses pouvant atteindre 1 million de dollars. Ces mises à jour reflètent l'importance accordée par Apple au renforcement des défenses contre les attaques avancées à distance et sans clic.
Une nouveauté majeure est l'ajout de Target Flags, un système qui permet aux chercheurs de prouver objectivement l'exploitabilité des vulnérabilités, y compris l'exécution de code à distance et les contournements de Transparency, Consent, and Control (TCC). Les rapports soumis avec Target Flags seront éligibles à des récompenses accélérées, ce qui signifie que les résultats vérifiés pourront être payés avant même qu'Apple ne publie un correctif.
Au-delà des incitations financières, Apple lance une nouvelle initiative visant à soutenir les groupes de la société civile et les personnes vulnérables aux logiciels espions. La société fournira 1 000 iPhone 17, dotés de la fonction Memory Integrity Enforcement, sa protection de mémoire la plus puissante à ce jour, aux organisations qui viennent en aide aux utilisateurs à risque. Le programme Apple Security Bounty mis à jour entrera en vigueur en novembre 2025, date à laquelle Apple publiera la liste complète des nouveaux niveaux de récompense, des catégories élargies et des structures de bonus sur son site web Security Research.
Auparavant, Apple a affirmé que Pegasus, le logiciel espion de la société israélienne NSO Group, ne constituait pas une menace pour les iPhone. Mais une enquête détaillée d'Amnesty International et de l'association parisienne Forbidden Stories a révélé que même les iPhone peuvent être infectés par Pegasus. Le rapport de 2022 a indiqué que sur 37 téléphones infectés ou attaqués par Pegasus, tous sauf trois étaient des iPhone. Des vulnérabilités auraient été trouvées dans iMessage, WhatsApp et Photo, entre autres.
Voici l'annonce d'Apple :
Une évolution majeure du programme Apple Security Bounty, avec les récompenses les plus prestigieuses du secteur pour les recherches les plus avancées
Depuis le lancement du programme public Apple Security Bounty en 2020, nous sommes fiers d'avoir récompensé plus de 800 chercheurs en sécurité à hauteur de plus de 35 millions de dollars, plusieurs rapports individuels ayant rapporté 500 000 dollars de récompenses. Nous sommes reconnaissants à tous ceux qui ont soumis leurs recherches et ont travaillé en étroite collaboration avec nous pour aider à protéger nos utilisateurs.
Aujourd'hui, nous annonçons le prochain chapitre majeur du programme Apple Security Bounty, qui propose les récompenses les plus élevées du secteur, des catégories de recherche élargies et un système de signalement permettant aux chercheurs de démontrer objectivement les vulnérabilités et d'obtenir des récompenses accélérées.
Ces mises à jour entreront en vigueur en novembre 2025. À cette date, nous publierons la liste complète des catégories nouvelles et élargies, des récompenses et des bonus sur le site Apple Security Research, ainsi que des instructions détaillées pour tirer parti des Target Flags, les directives mises à jour du programme, et bien plus encore.
Depuis le lancement du programme public Apple Security Bounty en 2020, nous sommes fiers d'avoir récompensé plus de 800 chercheurs en sécurité à hauteur de plus de 35 millions de dollars, plusieurs rapports individuels ayant rapporté 500 000 dollars de récompenses. Nous sommes reconnaissants à tous ceux qui ont soumis leurs recherches et ont travaillé en étroite collaboration avec nous pour aider à protéger nos utilisateurs.
Aujourd'hui, nous annonçons le prochain chapitre majeur du programme Apple Security Bounty, qui propose les récompenses les plus élevées du secteur, des catégories de recherche élargies et un système de signalement permettant aux chercheurs de démontrer objectivement les vulnérabilités et d'obtenir des récompenses accélérées.
- Nous doublons notre récompense maximale à 2 millions de dollars pour les chaînes d'exploitation qui peuvent atteindre des objectifs similaires à ceux des attaques sophistiquées de logiciels espions mercenaires. Il s'agit d'un montant sans précédent dans le secteur et de la plus importante récompense offerte par un programme de prime à notre connaissance. De plus, notre système de bonus, qui offre des récompenses supplémentaires pour les contournements du mode Verrouillage et les vulnérabilités découvertes dans les logiciels bêta, peut plus que doubler cette récompense, avec un paiement maximal supérieur à 5 millions de dollars. Nous doublons ou augmentons également de manière significative les récompenses dans de nombreuses autres catégories afin d'encourager des recherches plus intensives. Cela comprend 100 000 dollars pour un contournement complet de Gatekeeper et 1 million de dollars pour un accès non autorisé à iCloud, car aucun exploit réussi n'a été démontré à ce jour dans ces deux catégories.
- Nos catégories de primes s'élargissent pour couvrir encore plus de surfaces d'attaque. Nous récompensons notamment les échappements de sandbox WebKit en un clic avec jusqu'à 300 000 dollars, et les exploits de proximité sans fil sur n'importe quelle radio avec jusqu'à 1 million de dollars.
- Nous introduisons les indicateurs cibles, un nouveau moyen pour les chercheurs de démontrer objectivement l'exploitabilité de certaines de nos principales catégories de primes, notamment l'exécution de code à distance et les contournements de transparence, consentement et contrôle (TCC), et d'aider à déterminer l'éligibilité à une prime spécifique. Les chercheurs qui soumettent des rapports avec des indicateurs cibles pourront bénéficier de primes accélérées, qui sont traitées immédiatement après réception et vérification de la recherche, avant même qu'un correctif ne soit disponible.
Ces mises à jour entreront en vigueur en novembre 2025. À cette date, nous publierons la liste complète des catégories nouvelles et élargies, des récompenses et des bonus sur le site Apple Security Research, ainsi que des instructions détaillées pour tirer parti des Target Flags, les directives mises à jour du programme, et bien plus encore.
Et vous ?
Pensez-vous que ce programme est crédible ou pertinent ? Quel est votre avis sur le sujet ?Voir aussi :
Pegasus : le logiciel espion aurait utilisé des exploits «sans clic» pour cibler des milliers d'iPhone. E. Macron, 14 ministres français et d'autres chefs d'État sur la liste des personnes ciblées Apple offre une prime d'un million $ à toute personne capable de pirater son nouveau système d'IA, qui dispose d'un chiffrement de bout en bout et supprime immédiatement la demande une fois la tâche accomplie Énervé par la façon dont Apple gère son programme Security Bounty, un chercheur publie trois vulnérabilités 0-day dans iOS 15 avec un code d'exploitation envoyé comme PoC
Vous avez lu gratuitement 1 861 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.