C’est le cas aujourd’hui, puisque les primes augmentent dans quasiment toutes les catégories : 1 million de dollars pour un accès non autorisé complet à iCloud (aucun cas observé à ce jour) ; 100 000 $ pour un contournement total de Gatekeeper sur macOS ; 1 million $ pour une faille de proximité sans contact via Bluetooth ou Wi-Fi ; les attaques par navigateur WebKit (comme c’est le cas de Safari) peuvent désormais rapporter jusqu’à 300 000 $ si elles permettent de sortir du « bac à sable » du logiciel.
À partir du mois prochain, les chercheurs pourront toucher jusqu’à 2 millions de dollars pour une chaîne d’exploitation capable d’atteindre le niveau de sophistication d’un spyware mercenaire. Grâce aux bonus, notamment pour les contournements du mode d’isolement ou les failles trouvées dans les versions bêta, la somme totale peut grimper à plus de 5 millions de dollars.
Apple inaugure aussi un système de « Target Flags », une sorte de capture de drapeau intégrée à ses systèmes d’exploitation pour prouver objectivement la gravité d’une faille. Cela permet d’accélérer la confirmation de la vulnérabilité et le versement de la récompense.
Par ailleurs, la firme à la pomme distribuera 1 000 iPhone 17 l’année prochaine è des organisations de la société civile exposées à des logiciels espions. Les chercheurs pourront aussi postuler à un nouveau programme de recherche en 2026 qui leur permettra d’obtenir un accès anticipé à des modèles SRD (Security Research Device) pour tester les défenses d’iOS.
Ces changements au programme de chasse aux bugs interviennent après le lancement, avec l’iPhone 17, de Memory Integrity Enforcement (MIE), une nouvelle architecture qui limite fortement la surface d’attaque des logiciels espions de type Pegasus.
source: apple
