Danny Weber
15:59 10-10-2025
© A. Krivonosov
Apple met à jour son programme de chasse aux failles: primes jusqu’à 5 millions de dollars pour exploits critiques, dont iOS, Safari et Lockdown Mode.
Apple annonce une mise à jour de son programme de chasse aux failles, prévue pour novembre et assortie de récompenses parmi les plus élevées du secteur. L’entreprise double le plafond destiné aux chaînes d’exploits d’une complexité comparable à celle d’outils de type spyware, de 1 à 2 millions de dollars. Pour les vulnérabilités jugées particulièrement critiques — y compris des bugs dans les logiciels en version bêta ou un contournement de Lockdown Mode via Safari — la prime peut grimper jusqu’à 5 millions de dollars. Le signal envoyé à l’écosystème est difficile à manquer.
Les montants grimpent aussi pour d’autres scénarios d’attaque. Les exploits « en un clic » peuvent désormais valoir jusqu’à 1 million de dollars, contre 250 000 auparavant. La prime maximale pour des failles nécessitant une proximité physique avec l’appareil passe à 1 million, tandis qu’un accès obtenu à un appareil verrouillé peut rapporter jusqu’à 500 000 dollars. Apple prévoit en outre jusqu’à 300 000 dollars pour une chaîne d’attaque mêlant exécution de code dans WebContent et évasion de sandbox. De quoi redessiner la hiérarchie des risques qui intéressent le programme.
D’après Ivan Krstić, vice‑président en charge de la sécurité chez Apple, plus de 35 millions de dollars ont été versés à plus de 800 chercheurs ces dernières années. Il précise que les très gros chèques restent rares, même si Apple a, à plusieurs reprises, accordé 500 000 dollars pour des bugs critiques. Une cadence qui illustre à la fois la sélectivité du programme et son appétit pour les trouvailles majeures.
L’entreprise souligne que toutes les attaques de niveau système documentées sur iOS ont, dans les faits, été liées à des logiciels espions dits « mercenaires », le plus souvent employés par des entités gouvernementales pour une surveillance ciblée. De nouvelles protections, comme Lockdown Mode et Memory Integrity Enforcement, compliquent la tâche des attaquants, même si les adversaires se perfectionnent. En rehaussant les primes, Apple indique clairement où elle veut voir se concentrer les efforts des chercheurs: sur les failles les plus lourdes de conséquences, celles qui peuvent réellement faire pencher la balance en matière de sécurité.