Apple : le programme bug bounty officiellement ouvert à tous les chercheurs

Apple : le programme bug bounty officiellement ouvert à tous les chercheurs

Le bug bounty d’Apple ouvert à tous les chercheurs en sécurité est désormais opérationnel. Il était jusqu’à présent accessible seulement sur invitation et ne concernait que les bugs sur iOS. Dorénavant, les experts pourront soumettre des bugs liés à iPadOS, macOS, tvOS, WatchOS ainsi qu’iCloud. Comme elle l’avait annoncé en août dernier lors de la conférence Black Hat, la firme à la pomme a également fait passer le montant maximal de sa prime de 200.000 à 1 million de dollars. Pour prétendre à une telle récompense, les chercheurs devront démontrer la faisabilité d’une “attaque réseau sans interaction de l’utilisateur avec exécution du code noyau en zéro-clic, persistance et contournement du PAC du noyau.”

Apple ajoute un bonus de 50% pour les bugs signalés dans les préversions de ses logiciels car cela l’aidera à corriger d’éventuelles failles avant même que les produits ne soient largement diffusés. Un bonus de 50% sera également octroyé sur les régressions logicielles, c’est-à-dire des bugs qu’Apple a déjà corrigés antérieurement mais qui ont été accidentellement réintroduits à la faveur d’une nouvelle mise à jour. C’est précisément ce qui s’était produit l’été dernier avec une mise à jour d’iOS 12.4 qui avait réactivé une vulnérabilité située au niveau du noyau du système d’exploitation alors qu’elle avait été corrigée en mai avec iOS 12.3. (Eureka Presse)

publicité

Leave a Reply

Your email address will not be published. Required fields are marked *