Apple n'a pas la réputation d'entretenir de bonnes relations avec la communauté de la sécurité informatique, mais c'est en train de changer.

Dans le cadre des annonces faites lors de la conférence Black Hat à Las Vegas, le responsable Security Engineering et Architecture chez Apple a aussi indiqué l'extension du programme de bug bounty du groupe à macOS, ainsi que watchOS et tvOS.

En plus d'iOS, auquel le programme de bug bounty était initialement réservé et uniquement sur invitation, du nouveau iPadOS ou encore d'iCloud, les récompenses pour la découverte de vulnérabilités de sécurité dûment rapportées seront ouvertes " à tous " à l'automne.

Alors que le bug bounty original avec iOS limitait la rétribution à 200 000 $, Apple va être beaucoup plus généreux avec 1 million de dollars pour des failles permettant à une attaque à distance d'obtenir le contrôle total et persistant d'un appareil, sans interaction de la part d'une victime.

Il y aura par ailleurs un bonus de 50 % si des vulnérabilités sont identifiées dans du code encore en bêta, tandis qu'un demi-milliard de dollars concernera des failles donnant accès aux données de l'utilisateur.

Les annonces d'Apple pour son programme de bug bounty gonflé aux billets verts sont allées dans tous les sens et il faudra voir plus précisément ce qu'il en sera avec la documentation qui sera mise en ligne. Néanmoins, le geste en direction de la communauté de la sécurité informatique est bel et bien manifeste.

macOS-Catalina

Comme toujours, la question sera de savoir si tout cela sera suffisamment dissuasif pour détourner quelques vilaines tentations pour un marché noir ou opaque. Le cas de l'intégration de macOS - jusqu'à présent ignoré - est en tout cas symbolique.

Un jeune hacker allemand du nom de Linus Henze avait publié en début d'année une preuve de concept d'une vulnérabilité 0day affectant Keychain sur macOS, sans partager avec Apple les détails techniques de sa trouvaille. Il avait reproché à Apple de ne pas proposer un programme de bug bounty pour macOS. Finalement, il s'était ravisé et avait partagé - gratuitement - son exploit avec Apple.

Peut-être que cette péripétie a pesé dans la balance pour les nouveaux choix d'Apple.