Publié le 10 octobre 2025, 11:15:00. Apple revoit à la hausse ses primes pour les chercheurs en sécurité, doublant voire quadruplant les récompenses maximales offertes dans le cadre de son programme de bug bounty. L’objectif est d’inciter davantage d’experts à débusquer les vulnérabilités les plus critiques de ses systèmes d’exploitation.
- La récompense maximale pour la découverte d’une faille « zéro clic » exploitable à distance passe à 2 millions de dollars.
- Les primes pour les vulnérabilités nécessitant une proximité physique de l’appareil sont quadruplées pour atteindre 1 million de dollars.
- Apple a déjà versé plus de 35 millions de dollars à plus de 800 chercheurs depuis 2019.
Le programme de chasse aux bugs d’Apple, lancé initialement en 2016 auprès d’un cercle restreint de chercheurs avant d’être ouvert à tous en 2019, propose désormais des gains plus substantiels. Les montants précédents pouvaient atteindre 100 000 $, 250 000 $ ou encore 1 million de dollars, en fonction de la gravité de la faille découverte. Cette revalorisation vise à mieux rémunérer le temps et les efforts investis par les experts pour identifier des brèches de sécurité parfois très difficiles à localiser.
La catégorie la plus lucrative concernera désormais les vulnérabilités dites « zéro clic », c’est-à-dire celles permettant une attaque à distance sans aucune action de la part de l’utilisateur. Apple souligne que ces failles sont particulièrement recherchées par les fournisseurs de logiciels espions mercenaires. L’entreprise précise que les attaques au niveau du système observées dans la nature proviennent majoritairement de ces logiciels espions, des chaînes d’exploitation d’une grande sophistication qui coûtent des millions de dollars à développer et ciblent un nombre très limité d’individus. Bien que des fonctionnalités comme le mode « Verrouillage » et le renforcement de l’intégrité de la mémoire rendent ces attaques plus coûteuses et complexes, Apple reconnaît que les adversaires les plus avancés continueront d’adapter leurs méthodes.
En cas de découverte d’une vulnérabilité « zéro clic » particulièrement critique, un chercheur pourrait potentiellement remporter jusqu’à 5 millions de dollars. Cette somme serait atteinte si la faille permettait également de contourner le mode « Verrouillage » et d’affecter des fonctionnalités de logiciels bêta en cours de développement, cumulant ainsi deux primes distinctes. Apple affirme n’avoir connaissance d’aucun autre programme offrant une récompense aussi élevée, bien que des primes dans le domaine des cryptomonnaies aient déjà dépassé les 15 millions de dollars.
Pour les vulnérabilités nécessitant une interaction physique rapprochée avec l’appareil (« one-click » à proximité), le paiement maximum a également été multiplié par quatre, passant de 250 000 $ à 1 million de dollars. Bien qu’Apple n’ait pas encore constaté d’attaque par proximité menant à une compromission totale, ces nouvelles récompenses devraient encourager la découverte de failles potentiellement exploitables.
« Nous doublons, voire augmentons considérablement, les récompenses dans de nombreuses autres catégories pour encourager des recherches plus approfondies. Cela inclut 100 000 $ pour un projet complet de Gatekeeper« , a ajouté l’entreprise.
Apple insiste sur le fait que cette revalorisation n’est pas une réaction directe aux offres des « marchands de cyberarmes » tiers qui proposent des sommes élevées pour des recherches similaires dans le but d’utiliser ces découvertes comme armes. Des sociétés comme Zerodium ont par le passé offert jusqu’à 2,5 millions de dollars pour des bugs iOS et Android. Néanmoins, la société californienne espère que ces nouvelles primes inciteront les chercheurs en sécurité à soumettre leurs découvertes à Apple plutôt qu’à d’autres acteurs du marché. Ce nouveau programme de bug bounty entrera en vigueur le mois prochain.