Apple offre une récompense de 2 millions de dollars à quiconque parviendra à pirater un iPhone.
Apple vient d'annoncer un programme de primes de sécurité pouvant atteindre 2 millions de dollars pour tout pirate informatique ou expert capable de découvrir une vulnérabilité critique sur l'iPhone.
Comparativement à de nombreuses entreprises technologiques, Apple a toujours été considérée comme assez prudente lorsqu'il s'agit de récompenser ceux qui découvrent des failles de sécurité sur les iPhones. Cependant, la société a récemment revu en profondeur son programme de primes aux bogues afin de détecter et de corriger proactivement les failles critiques avant qu'elles ne soient exploitées.
Le 10 octobre, Apple a porté la récompense maximale pour une vulnérabilité de l'iPhone à 2 millions de dollars, soit le double du million de dollars précédent ; et ce montant pourrait passer à 5 millions de dollars si la vulnérabilité comprend des éléments supplémentaires, tels que le contournement du mode de verrouillage.
Pour recevoir la prime la plus élevée, les pirates informatiques ou les chercheurs doivent découvrir des vulnérabilités susceptibles d'atteindre les mêmes objectifs que des campagnes de logiciels espions sophistiquées.
Outre la récompense la plus élevée, Apple a également augmenté les récompenses pour de nombreuses autres catégories, telles que les méthodes permettant de contourner Gatekeeper, désormais évaluées à 100 000 $, tandis que les vulnérabilités permettant un accès non autorisé à iCloud peuvent être récompensées jusqu’à 1 million de dollars.
L'entreprise a également élargi la portée du programme, en ajoutant des catégories telles que les vulnérabilités WebKit et les vulnérabilités liées à la connectivité sans fil, démontrant ainsi un effort pour accroître le niveau de protection de l'écosystème Apple.
Le programme de chasse aux bugs d'Apple devient de plus en plus sophistiqué.
Au cours des cinq dernières années, Apple a versé plus de 35 millions de dollars de récompenses à plus de 800 hackers éthiques et chercheurs en sécurité via son programme de primes aux bogues. L'entreprise affirme travailler à rendre ce programme plus transparent, attractif et efficace, notamment en réduisant les délais de récompense pour les découvertes valides.
D'après Apple, l'une des améliorations notables est l'introduction d'un nouveau mécanisme permettant aux chercheurs de démontrer objectivement leur capacité à exploiter des vulnérabilités pour des catégories à forte récompense, telles que l'exécution de code à distance ou le contournement du mécanisme de transparence, de consentement et de contrôle (TCC). Les rapports soumis grâce à ce mécanisme seront traités et récompensés plus rapidement, parfois même avant la publication du correctif officiel.
Cette initiative marque un tournant majeur dans la manière dont Apple aborde la communauté de la sécurité informatique. Avant 2020, date de lancement officiel du programme de primes aux bogues d'Apple, les relations entre l'entreprise et les chercheurs étaient plutôt tendues, de nombreuses plaintes concernant des vulnérabilités restant sans réponse.
Apple a transformé son programme de chasse aux bugs, initialement inexistant, en l'un des systèmes les plus complets et les plus performants du secteur technologique. L'entreprise annonce le lancement officiel, le mois prochain, d'une version améliorée qui couvrira davantage de catégories et offrira un meilleur soutien à la communauté mondiale de la sécurité informatique.
La lutte d'Apple contre les logiciels espions sophistiqués.
Dans sa dernière annonce, Apple a insisté sur l'expression « attaques sophistiquées de logiciels espions mercenaires » en évoquant la récompense de 2 millions de dollars, la plus élevée de son programme de primes aux bogues. Il ne s'agit pas seulement d'un appel aux experts en sécurité, mais aussi d'une preuve des efforts continus d'Apple pour renforcer la protection de l'iPhone contre les campagnes de cyberespionnage de plus en plus dangereuses.
Ces dernières années, les logiciels espions comme Pegasus, développé par la société israélienne NSO Group, ont atteint un niveau de sophistication alarmant. Capables d'infiltrer les iPhones sans aucune intervention de l'utilisateur, ils exploitent des failles de sécurité zero-day pour surveiller messages, courriels, photos et autres données sensibles. La première version de Pegasus nécessitait simplement de cliquer sur un lien dans un SMS, mais les versions ultérieures pouvaient même s'installer automatiquement, rendant inefficaces toutes les mesures de sécurité traditionnelles.
Depuis des années, Apple corrige sans relâche les failles de sécurité exploitées par NSO Group, mais cette lutte acharnée est loin d'être terminée. En 2021, l'entreprise a décidé de porter plainte contre NSO Group, l'accusant de « suivre et cibler les utilisateurs d'Apple » au moyen de logiciels espions commerciaux.
À l'époque, Craig Federighi, vice-président senior des logiciels chez Apple, affirmait : « Les appareils Apple sont les matériels grand public les plus sécurisés du marché, mais les entreprises de logiciels espions parrainées par des États constituent une menace sérieuse pour la vie privée des utilisateurs. »
Bien qu'Apple ait retiré sa plainte en 2024 en raison de préoccupations liées à la divulgation d'informations sensibles en matière de sécurité, cette affaire démontre néanmoins le ferme engagement de l'entreprise dans la lutte contre les logiciels espions et explique pourquoi Apple est disposée à dépenser des millions de dollars pour corriger les vulnérabilités susceptibles de menacer la sécurité des utilisateurs d'iPhone dans le monde entier.
L’iPhone 17 est équipé de nouveaux outils de sécurité pour lutter contre les logiciels espions.
Outre l'expansion de son programme de recherche de failles, Apple renforce également la sécurité de l'iPhone face à des cybermenaces de plus en plus sophistiquées. Sur la gamme iPhone 17, l'entreprise a introduit une nouvelle fonctionnalité de sécurité appelée « Mécanisme de protection de l'intégrité de la mémoire » (MIE), décrite comme « la plus importante avancée en matière de sécurité de la mémoire jamais réalisée pour un système d'exploitation grand public ».
Selon Apple, MIE empêche l'injection de code malveillant dans le système en autorisant uniquement l'exécution de code de confiance dans les zones de mémoire protégées. La plupart des logiciels espions actuels exploitent les failles de sécurité de la mémoire, et MIE est conçu pour corriger cette vulnérabilité à la source. L'entreprise précise que cette fonctionnalité est en développement depuis 2020 et est désormais intégrée par défaut sur l'ensemble des iPhone 17 et iPhone Air.
Dans le rapport technique joint, Apple a affirmé que MIE est suffisamment puissant pour rendre le développement d'outils d'attaque ciblant l'iPhone 17 extrêmement coûteux et complexe. Un représentant de l'entreprise a déclaré avec assurance que MIE « déjouera bon nombre des techniques d'exploitation les plus efficaces de ces 25 dernières années, redéfinissant complètement le concept de sécurité de la mémoire sur les appareils mobiles ».
En combinant de nouvelles fonctionnalités de sécurité matérielles à un programme de primes aux bogues élargi, Apple démontre qu'elle renforce constamment la position de l'iPhone comme l'un des appareils mobiles les plus sûrs au monde.
