Apple offre une récompense de 2 millions de dollars à quiconque parvient à pirater un iPhone.

Comparativement à de nombreuses entreprises technologiques, Apple s'est toujours montrée assez prudente quant aux récompenses accordées aux personnes découvrant des failles de sécurité sur l'iPhone. Cependant, la société vient de revoir en profondeur son programme de primes aux bogues afin de détecter et de corriger proactivement les failles critiques avant qu'elles ne soient exploitées.

Le 10 octobre, Apple a porté la récompense maximale pour une vulnérabilité de l'iPhone à 2 millions de dollars, soit le double du million de dollars précédent ; et ce montant peut passer à 5 millions de dollars si la vulnérabilité s'accompagne de facteurs supplémentaires, tels que le contournement du « mode de verrouillage ».

Pour recevoir la prime la plus élevée, les pirates informatiques ou les chercheurs doivent découvrir des vulnérabilités susceptibles d'atteindre les mêmes objectifs que des campagnes de logiciels espions sophistiquées.

Outre la récompense la plus élevée, Apple a également augmenté les récompenses pour de nombreuses autres catégories, telles que les méthodes de contournement de Gatekeeper, désormais évaluées à 100 000 $, tandis que les vulnérabilités permettant un accès non autorisé à iCloud peuvent être récompensées jusqu’à 1 million de dollars.

L'entreprise a également élargi la portée du programme, en ajoutant des catégories telles que les vulnérabilités WebKit et les vulnérabilités liées au sans-fil, démontrant ainsi ses efforts pour accroître le niveau de protection de l'écosystème Apple.

Le programme de primes aux bogues d'Apple s'améliore de plus en plus.

Au cours des cinq dernières années, Apple a versé plus de 35 millions de dollars de primes à plus de 800 hackers éthiques et chercheurs en sécurité via son programme de primes aux bogues. L'entreprise affirme travailler à rendre ce programme plus transparent, attractif et efficace, notamment en réduisant les délais de récompense pour les découvertes valides.

D'après Apple, l'une des améliorations notables est l'introduction d'un nouveau mécanisme permettant aux chercheurs de démontrer objectivement les failles de sécurité pour des catégories de récompenses importantes, telles que l'exécution de code à distance ou le contournement du système de transparence, de consentement et de contrôle (TCC). Les rapports effectués grâce à ce mécanisme seront traités et récompensés plus rapidement, même avant la publication d'un correctif officiel.

Cette initiative marque un tournant majeur dans l’approche d’Apple vis-à-vis de la communauté de la sécurité informatique. Avant 2020, date de lancement officiel du programme de primes aux bogues d’Apple, les relations entre l’entreprise et les chercheurs étaient plutôt tendues, nombre d’entre eux déplorant le manque de réactivité face aux signalements de vulnérabilités.

Apple a transformé son programme de primes aux bogues, initialement inexistant, en l'un des plus complets et des plus avantageux du secteur technologique. L'entreprise annonce le lancement officiel, le mois prochain, d'une version améliorée du programme, qui élargira les catégories et le rendra plus accessible à la communauté mondiale de la sécurité informatique.

La guerre d'Apple contre les logiciels espions sophistiqués

Dans sa dernière annonce, Apple a insisté sur l’expression « attaques sophistiquées de logiciels espions mercenaires » en évoquant la prime de 2 millions de dollars, le montant le plus élevé de son programme de primes aux bogues. Il s’agit non seulement d’un appel aux experts en sécurité, mais aussi de la preuve des efforts constants d’Apple pour renforcer la protection de l’iPhone contre les campagnes de cyberespionnage de plus en plus dangereuses.

Ces dernières années, les logiciels espions comme Pegasus, développé par la société israélienne NSO Group, ont atteint un niveau de sophistication inquiétant. Capables d'infiltrer les iPhones sans aucune intervention de l'utilisateur, ils exploitent des failles de sécurité zero-day pour surveiller les SMS, les e-mails, les photos et autres données sensibles. La première version de Pegasus nécessitait simplement de cliquer sur un lien dans un SMS, mais les versions ultérieures pouvaient même s'installer automatiquement, rendant ainsi inefficaces toutes les mesures de sécurité traditionnelles.

Apple corrige depuis des années les failles de sécurité exploitées par NSO Group, mais la lutte contre ce fléau se poursuit. En 2021, l'entreprise a décidé de porter plainte contre NSO Group, l'accusant de « suivre et cibler les utilisateurs d'Apple » au moyen de logiciels espions commerciaux.

À cette époque, Craig Federighi, vice-président senior des logiciels chez Apple, affirmait : « Les appareils Apple sont les matériels grand public les plus sécurisés du marché, mais les entreprises qui développent des logiciels espions parrainés par des États constituent une menace sérieuse pour la vie privée des utilisateurs. »

Bien qu'Apple ait retiré sa plainte en 2024 par crainte de divulguer des informations sensibles relatives à la sécurité, cette affaire témoigne de l'engagement ferme de l'entreprise dans la lutte contre les logiciels espions et explique pourquoi Apple est prête à dépenser des millions de dollars pour corriger les vulnérabilités susceptibles de menacer la sécurité des utilisateurs d'iPhone dans le monde entier.

L'iPhone 17 est équipé de nouveaux outils de sécurité contre les logiciels espions.

Outre l’expansion de son programme de primes aux bogues, Apple renforce également la sécurité de l’iPhone face à des cybermenaces de plus en plus sophistiquées. Sur l’iPhone 17, la société a introduit une nouvelle fonctionnalité de sécurité appelée « Intégrité de la mémoire » (MIE), décrite comme « la plus importante mise à jour de la sécurité de la mémoire jamais réalisée pour un système d’exploitation grand public ».

Selon Apple, MIE empêche l'injection de code malveillant dans le système en autorisant uniquement l'exécution de code de confiance dans les zones de mémoire protégées. La plupart des logiciels espions actuels exploitent les failles de sécurité de la mémoire, et MIE est conçu pour corriger cette vulnérabilité à la source. L'entreprise a indiqué que cette fonctionnalité était en développement depuis 2020 et qu'elle est désormais intégrée par défaut à toute la gamme iPhone 17 ainsi qu'à l'iPhone Air.

Dans le rapport technique joint, Apple affirme que MIE est suffisamment puissant pour rendre le développement d'un outil d'attaque ciblant l'iPhone 17 extrêmement coûteux et complexe. Un représentant de l'entreprise a déclaré avec assurance que MIE « déjouera bon nombre des techniques d'exploitation les plus efficaces de ces 25 dernières années, redéfinissant complètement le concept de sécurité de la mémoire sur les appareils mobiles ».

En combinant de nouvelles fonctionnalités de sécurité matérielle et un programme de primes aux bogues élargi, Apple montre qu'elle renforce progressivement la position de l'iPhone comme l'un des appareils mobiles les plus sécurisés au monde.