Le responsable de l’ingénierie et de l’architecture de sécurité chez Apple a annoncé une augmentation importante de la prime maximale offerte dans le cadre du programme Apple Security Bounty. Voici pourquoi le fournisseur paie autant pour protéger ses plateformes.
Si vous possédez des compétences en sécurité des plateformes, vous n’avez pas besoin de vendre vos découvertes à des entreprises douteuses proposant des services de surveillance : Apple peut faire de vous un millionnaire. Lors de l’événement Hexacon 2025 organisé à Paris (les 10 et 11 octobre 2025) par Offensive Security, Ivan Krstić, le responsable de l’ingénierie et de l’architecture de sécurité (Security Engineering and Architecture ou SEAR) chez Apple, a annoncé une augmentation considérable de la récompense maximale offerte dans le cadre du programme Apple Security Bounty.
Plusieurs millions de dollars pour des séries d’exploits
Désormais, la prime atteint 2 millions de dollars pour les chaînes d’exploits permettant d’atteindre des objectifs similaires à ceux des attaques sophistiquées menées par des logiciels espions mercenaires. Cette prime s’ajoute aux autres primes aux bogues de sécurité offertes par Apple, ce qui signifie que les chercheurs peuvent gagner jusqu’à 5 millions de dollars lorsqu’ils identifient une nouvelle série d’exploits. À partir de novembre, afin d’encourager des recherches plus intensives, Apple doublera ou augmentera considérablement les récompenses dans de nombreuses autres catégories. Les récompenses pourront aller de 100 000 dollars pour un contournement complet de Gatekeeper, à 1 million de dollars pour un accès non autorisé à iCloud à grande échelle, même si Apple affirme qu’aucun exploit réussi n’a été démontré à ce jour dans l’une ou l’autre de ces catégories. L’entreprise a également introduit des primes pour les contournements de sandbox WebKit et les exploits de proximité sans fil.
Pourquoi de telles récompenses ?
Les récompenses d’Apple pour ce type d’informations sont relativement récentes : 2019. C’est à peu près à cette époque que la nature de ces attaques a commencé à changer. En effet, c’est à ce moment-là que des gouvernements et des entreprises de sécurité parrainées par des États-nations ont commencé à mener des attaques sérieuses contre les clients d’Apple. Plus tard, en 2022, l’entreprise a annoncé le lancement de Lockdown Mode, son système de haute sécurité qui offre une protection encore plus forte aux cibles potentiellement vulnérables. Elle a également débloqué 10 millions de dollars pour aider les entreprises qui enquêtent, dénoncent et préviennent les cyberattaques hautement ciblées. Ces efforts se poursuivent. Ils doivent se poursuivre. Depuis, les attaques de ce type se sont multipliées, en particulier, mais pas exclusivement, de la part de sociétés mercenaires spécialisées dans les logiciels espions. Quant à Apple, l’entreprise continue de renforcer la protection de tous ses produits et services. Tout en s’efforçant de sécuriser ses plateformes et ses clients, la firme de Cupertino doit aussi faire face à des gouvernements autoritaires et irresponsables, qui prennent des décisions qui affaiblissent inévitablement la sécurité. La tentative du Royaume-Uni de créer une porte dérobée dans les données chiffrées d’iCloud n’en est qu’un exemple. Il est évident qu’Apple devra investir encore plus qu’elle ne le fait déjà dans la sécurité afin de protéger ces flancs désormais affaiblis.
M. Krstić a également évoqué la fonctionnalité Memory Integrity Enforcement (MIE), une protection de sécurité annoncée par Apple en même temps que l’iPhone 17. Fruit de cinq années de développement, cette défense vise à protéger contre les bogues iOS les plus fréquemment exploités, à savoir les vulnérabilités de sécurité de la mémoire, souvent utilisées dans les attaques sophistiquées de surveillance en tant que service, très prisées par certains des régimes les plus répressifs au monde. « Les seules attaques iOS au niveau du système observées dans la nature proviennent de logiciels espions mercenaires, des chaînes d’exploitation extrêmement sophistiquées, historiquement associées à des acteurs étatiques, dont le développement coûte des millions de dollars et sont utilisées contre un très petit nombre d’individus ciblés », a expliqué Apple. C’est le cas des attaques menées contre des militants, des journalistes et des politiciens. (Selon Wired, Apple a fait don de 1 000 iPhone 17 à des groupes de défense des droits humains qui travaillent avec des personnes exposées à des attaques ciblées). Les protections combinées telles que MIE, le mode lockdown (mode isolement) et les autres boucliers de sécurité qui existent sur les plateformes Apple rendent ces attaques sophistiquées beaucoup plus coûteuses à développer et à utiliser, mais le fournissuer sait que la lutte pour la sécurité se poursuit, c’est pour cette raison qu’elle a augmenté ses primes pour récompenser la découverte de bogues de sécurité.
Une obligation morale
Dans une interview accordée à Wired, Ivan Kristić a expliqué pourquoi Apple consacrait autant de ressources à la protection de ces groupes cibles à forte valeur ajoutée : « Nous ressentons une grande obligation morale de défendre ces utilisateurs. Même si la grande majorité de nos utilisateurs ne seront jamais visés par ce genre d’attaques, le travail que nous avons accompli permettra au final de renforcer la protection de tous. » Il a bien sûr raison, car la vérité dérangeante de la vie sur une planète connectée numériquement est que personne n’est en sécurité tant que tout le monde n’est pas en sécurité. Cela signifie que toute tentative d’affaiblir la sécurité d’un groupe de personnes réduira inévitablement la sécurité de tous les groupes de personnes.