Le programme Bug Bounty d’Apple, vieux de 3 ans, a finalement officiellement été étendu pour accepter les soumissions de bugs provenant d’autres plateformes de l’écosystème Apple, y compris macOS. La société à la pomme croquée a annoncé ses plans d’expansion il y a quelques mois seulement, lors de la conférence Black Hat sur la cybersécurité. Apple semble avoir lancé l’extension de son programme Security Bounty le jeudi 19 décembre, sur une nouvelle page web publiée sur son site qui fournit de plus amples détails sur le programme mis à jour.
Le programme Apple Security Bounty est essentiellement un programme dans lequel Apple incite les chercheurs en sécurité à trouver des bugs dans les différents systèmes d’exploitation d’Apple et à les signaler à l’entreprise en échange d’une récompense monétaire assez importante.
Comme le fait remarquer ZDNet, lorsque le programme a été lancé pour la première fois en 2016, il n’acceptait que les rapports de bugs pour iOS de certains chercheurs qui avaient été invités à participer au programme. Mais depuis cette semaine, le programme Security Bounty s’est officiellement étendu pour accepter non seulement les bugs macOS, mais aussi les bugs d’autres systèmes d’exploitation Apple, et il permet maintenant la participation de tous les chercheurs en sécurité.
La nouvelle page web publiée sur le site d’Apple fournit des détails sur l’itération actuelle du programme Security Bounty, y compris les directives d’éligibilité, les catégories de primes (et les récompenses maximales associées), et les instructions sur la façon de soumettre un rapport de bogue. Il y a même une page séparée qui liste des exemples de paiements pour différents types de bugs.
En plus des bugs macOS, le programme accepte officiellement les rapports de bugs pour iOS, iPadOS, tvOS et WatchOS.
Quelques directives à suivre
Il ne semble pas y avoir de directives spécifiques à macOS pour la soumission de rapports de bugs à ce sujet, mais en général, pour être éligibles à une prime, les chercheurs doivent suivre trois directives principales :
- Vous devez être le premier à rapporter le bug à la division Apple Product Security.
- Un rapport doit être soumis et il doit être « clair » et contenir « un exploit fonctionnel »
- Vous ne pouvez pas rendre public le bug avant qu’Apple ne publie l’avis de sécurité pour le rapport
Il faut aussi noter que si le bug a « un impact significatif sur les utilisateurs », Apple le prendra quand même en considération pour le paiement d’une récompense même s’il ne « correspond pas aux catégories de récompenses publiées ». Et, les récompenses sont très alléchantes. En fait, le plus petit exemple de paiement indiqué était de 25 000 dollars, et le plus gros paiement semble être de 1 million de dollars.