Apple intensifie sa lutte contre les cybermenaces les plus sophistiquées et ne se coupe plus comme jadis de la contribution de la communauté des chercheurs en sécurité. Le groupe du Cupertino annonce une mise à jour spectaculaire de son programme de primes de Bug Bounty qui prendra effet en novembre prochain.
Depuis le lancement public de son Apple Security Bounty en 2020, Apple indique avoir versé plus de 35 millions de dollars à plus de 800 chercheurs. Un investissement conséquent pour protéger son écosystème de plus de 2,35 milliards d'appareils actifs.
Une grosse augmentation des récompenses
La nouvelle grille de récompenses cible spécifiquement les scénarios d'attaque les plus redoutés, en privilégiant les chaînes d'exploits complètes aux vulnérabilités isolées.
La prime la plus élevée est doublée et portée à 2 millions de dollars. Elle concerne une chaîne d'exploitation zéro-clic qui permet de compromettre un appareil à distance sans aucune interaction de l'utilisateur. Avec des bonus, le montant pourrait dépasser 5 millions de dollars.
D'autres catégories voient leurs gains exploser. Un accès à distance en un clic passe de 250 000 dollars à 1 million de dollars, tout comme une attaque par proximité sans fil.
De même, un accès étendu et non autorisé à iCloud est désormais récompensé à hauteur de 1 million de dollars. Apple met également une prime de 100 000 dollars sur un contournement complet de Gatekeeper sur macOS, une faille qui n'a encore jamais été démontrée.
Pourquoi une telle explosion des récompenses ?
L'inflation des primes est une réponse directe à la sophistication croissante des attaques et l'efficacité des propres défenses d'Apple.
Apple reconnaît que les protections avancées comme le Mode Isolement (Lockdown Mode) et la récente technologie Memory Integrity Enforcement rendent la découverte de failles beaucoup plus difficile et longue pour les chercheurs. Pour maintenir l'engagement des chercheurs en sécurité, les incitations financières doivent ainsi être à la hauteur du défi à relever.
Le groupe affirme en outre que les seules attaques au niveau d'iOS observées dans la nature proviennent désormais de logiciels espions mercenaires et de chaînes d'exploit complexes coûtant des millions de dollars à développer. Des attaques qui sont très ciblées.
Des Target Flags pour motiver les troupes
Au-delà des récompenses financières, Apple introduit un outil innovant pour fluidifier la collaboration avec la communauté des chercheurs : les Target Flags.
Inspiré des compétitions de hacking de type Capture The Flag, ce système intégré aux systèmes d'exploitation (iOS, macOS, visionOS, etc.) permet aux chercheurs de démontrer objectivement la réussite d'un exploit.
Capturer un drapeau spécifique prouve une capacité technique et correspond directement à un palier de récompense. Une fois le drapeau validé par Apple, la récompense est traitée immédiatement, avant même que le correctif ne soit déployé.
