Apple a considérablement augmenté le montant proposé aux hackers qui trouveraient des failles dans le système de sécurité des iPhone et des iMac. La récompense peut aller jusqu’à un million de dollars, et c’est de loin la somme la plus importante jamais offerte par une entreprise de tech pour son programme bug bounty.

Un bug bounty, c’est un programme développé par une entreprise qui cherche à trouver les vulnérabilités de ses produits et qui propose ainsi aux hackers du monde entier de se mesurer à leur système de sécurité pour essayer de le contourner. Cette initiative est gagnant-gagnant : si les programmeurs y parviennent, ils remportent une récompense à la clef, et l’entreprise peut améliorer la sécurité de ses produits.


Apple a ainsi augmenté sa prime de 200 000 $ et ouvrira son programme bug bounty à tous les hackers à partir de l’automne. Auparavant, seuls les programmeurs sollicités par l’entreprise étaient éligibles pour ce genre de récompense.

La marque à la pomme a donc confirmé le lancement d’un programme bug bounty pour iMac ce jeudi, mais ne s’arrête pas là et déploie également son initiative pour ses systèmes d’exploitation watchOS et Apple TV. L’annonce a été faite à Las Vegas lors de la conférence Black Hat, où Ivan Krstić, responsable de la sécurité technologique chez Apple, a prononcé un discours sur la sécurité d’iOS et macOS.

Forbes a révélé ce lundi qu’Apple devrait par ailleurs fournir aux participants au programme bug bounty des « dispositifs de développeur », en d’autres mots des iPhone déverouillés qui permettront aux hackers de creuser le système iOS. Ils pourront par exemple mettre le processeur en pause pour observer ce qui se produit alors avec la mémoire de l’appareil. Ivan Krstić a confirmé que le programme iOS Security Research Device ne serait accessible que sur candidature.

Si le groupe a choisi d’augmenter ses récompenses, c’est pour faire face au marché privé où prolifèrent les hackers qui vendent des informations aux gouvernements pour des sommes colossales.

Le coût d’un programme qui permettrait d’exploiter les vulnérabilités d’un appareil pour en prendre le contrôle peut atteindre 1,5 million de dollars sur le marché. Pourtant seules quelques centaines de programmeurs se concentrent sur des outils haut de gamme du genre, et seulement un ou deux programmes sont vendus chaque année.

L’entreprise américaine Zerodium fait grand cas des récompenses proposées à des programmeurs qui trouveraient des failles qu’elle pourrait racheter, mais ne cache pas non plus son intention d’être bien vue par les gouvernements. Au mois de janvier, la société a annoncé offrir 2 millions de dollars à quiconque parviendrait à hacker un iPhone à distance.

Ivan Krstić a déclaré qu’à ce jour les programmes big bounty d’Apple étaient un succès et avaient permis de corriger  jusqu’à 50 failles sérieuses depuis 2016.