Apple a annoncé l'extension de la portée et les paiements de son programme de primes de sécurité. Après avoir créé le programme sur invitation uniquement, il encourage désormais tous les chercheurs en sécurité à participer. De plus, les chercheurs qui découvrent des exploits inconnus jusqu'ici dans les systèmes d'exploitation et les services Apple peuvent gagner jusqu'à 1,5 million de dollars, une énorme bosse par rapport au plafond de 200000 $ précédent.
Plus tôt cette année, le directeur de l'ingénierie de sécurité d'Apple, Ivan Krstić, a pris la parole lors de la conférence Black Hat à Las Vegas, Nevada, pour esquisser les plans de l'entreprise pour améliorer son programme de primes de sécurité. À l'époque, Krstić a noté qu'Apple étendrait l'accès et les paiements. En élargissant la portée et le paiement du programme, Apple peut aider à réduire la probabilité que des exploits qui sont découvert tombera entre de mauvaises mains.
Pour être éligible, le problème doit concerner la dernière version des systèmes d'exploitation Apple avec une configuration standard et, le cas échéant, du matériel accessible au public. Les chercheurs doivent être les premiers à signaler le problème à la sécurité des produits Apple et doivent également répondre à d'autres exigences..
Les primes se répartissent en cinq grandes catégories: iCloud, attaque d'appareil via un accès physique, attaque d'appareil via une application installée par l'utilisateur, attaque de réseau avec interaction de l'utilisateur et attaque de réseau sans interaction de l'utilisateur, avec des paiements maximum allant de 100 000 $ pour un exploit iCloud à 1 million $ pour une «exécution de code du noyau sans clic avec persistance et contournement PAC du noyau».
Un paiement pouvant atteindre 1,5 million de dollars serait possible car Apple offre également un bonus de 50% pour «les problèmes inconnus d'Apple et propres aux développeurs bêta désignés et aux bêtas publics, y compris les régressions».
Apple a noté qu'en plus de la récompense financière, il offre une reconnaissance publique aux chercheurs qui soumettent des rapports valides. Il égalera également les dons des paiements de primes qu'il verse aux organismes de bienfaisance admissibles. Plus de détails sont disponibles sur le site des développeurs d'Apple.
Les conditions plus généreuses d'Apple l'aideront-elles à renforcer encore la sécurité de son système d'exploitation, ou pensez-vous que tout cela est pour le spectacle? Sonnez dans les commentaires.
