Après avoir fait l'objet d'une ouverture sur invitation et pour quelques personnes triées sur le volet, l'Apple Security Bounty est désormais ouvert à tous les chercheurs en sécurité. Une ouverture à tous qui était promise pour cet automne.

Comme annoncé cet été, ce programme de bug bounty a été étendu au-delà d'iOS et concerne également iPadOS, watchOS, tvOS, ainsi que… macOS. Sans oublier iCloud par ailleurs. Le plus haut niveau de rétribution atteint le million de dollars.

Ce million de dollars récompense la découverte et la communication de vulnérabilités de sécurité permettant une attaque à distance pour obtenir le contrôle total et persistant d'un appareil, sans interaction de la part de l'utilisateur. Un exploit dit zero-click.

Il y a une majoration de 50 % pour des vulnérabilités identifiées dans du code encore en bêta, voire pour des régressions (un bug de sécurité réintroduit à la suite d'une mise à jour). En outre, des failles zero-click pour l'accès aux données de l'utilisateur seront récompensées à hauteur d'un demi-milliard de dollars.

L'initiative d'Apple a été saluée par le chercheur en sécurité Patrick Wardle qui a longtemps milité pour un bug bounty prenant en compte macOS. Cet ancien de la NSA a dévoilé à plusieurs reprises des vulnérabilités 0day affectant le système d'exploitation pour l'ordinateur Mac.

Apple a entretenu par le passé des relations tendues avec la communauté des chercheurs en sécurité. La donne change avec son programme de bug bounty qui est une forme de reconnaissance.