Publié le 10 octobre 2025. Apple revoit à la hausse les récompenses offertes dans le cadre de son programme de chasse aux bugs, baptisé « Apple Bug Bounty ». Le montant des primes, notamment pour la découverte de vulnérabilités critiques, peut désormais atteindre plusieurs millions de dollars.
- La détection de chaînes d’exploitation « zero-click » peut rapporter jusqu’à 2 millions de dollars.
- Des bonus significatifs peuvent doubler ces montants, portant le paiement maximum à plus de 5 millions de dollars.
- Ces récompenses les plus élevées s’appliquent aux vulnérabilités découvertes dans les logiciels et matériels les plus récents et les mieux protégés d’Apple.
Face à l’évolution constante des techniques d’attaque employées par des acteurs sophistiqués tels que l’industrie des logiciels espions, Apple a décidé d’intensifier son programme de récompenses. L’entreprise reconnaît que la recherche de nouvelles failles de sécurité demande un investissement conséquent en temps et en ressources, et souhaite que ces efforts soient justement rémunérés.
Dans cette optique, les primes maximales pour certaines catégories de failles ont été doublées, voire quadruplées. Par exemple, un contournement complet du système Gatekeeper sans aucune interaction de l’utilisateur est désormais récompensé jusqu’à 100 000 dollars. L’exploitation d’une chaîne de vulnérabilités impliquant l’exécution de code WebContent dans WebKit, suivie d’une évasion de bac à sable et de l’exécution de code non signé avec des privilèges arbitraires, peut désormais rapporter jusqu’à 1 million de dollars. De même, un accès non autorisé à grande échelle à iCloud ou une exploitation par proximité sans fil sur toutes les interfaces radio des appareils récents peuvent atteindre ce même seuil d’un million de dollars.
Le montant final attribué dépendra de la démonstration de l’exploit. Même les maillons individuels d’une chaîne de vulnérabilités pourront faire l’objet de récompenses, bien que d’un montant inférieur. Apple introduit également les « Target Flags », un nouvel outil permettant aux chercheurs de signaler explicitement les problèmes de sécurité qu’ils estiment exploitables.
Pour les chercheurs débutants qui explorent les plateformes Apple et découvrent des problèmes à faible impact, en dehors des catégories couvertes par le programme principal, une prime de 1 000 dollars sera désormais versée. Ces nouvelles dispositions entreront en vigueur en novembre 2025. Apple promet de publier à cette date la liste exhaustive des catégories, récompenses et bonus étendus, ainsi que des instructions détaillées pour l’utilisation des « Target Flags » et des directives mises à jour du programme.