Apple a toujours encouragé les chercheurs en sécurité à identifier et à signaler les failles dans ses appareils et applications. En contrepartie, la firme propose des primes allant jusqu’à 2 millions d’euros. Pourtant, une récente affaire a mis en lumière des disparités dans ce programme de récompenses.
Un chercheur, ayant révélé une vulnérabilité critique dans Safari, a reçu seulement 1 000 euros, malgré un classement de gravité de 9,8 sur 10. Ce cas soulève des questions sur l’évaluation des risques et des compensations associées.
Des primes sous-évaluées ?
En 2022, Apple a révisé son programme de primes, annonçant un paiement moyen de 40 000 euros et des sommes à six chiffres pour des problèmes majeurs. Un étudiant a même reçu 175 000 euros pour avoir réussi à détourner les caméras de Mac et d’iPhone. Pourtant, la réalité semble parfois bien plus décevante.
Le chercheur, connu sous le nom de RenwaX23, a découvert une vulnérabilité de type Universal Cross-Site Scripting (UXSS), permettant potentiellement à un attaquant d’accéder aux données d’un utilisateur. Malgré le sérieux de la faille, notée comme critique, la récompense s’est limitée à 1 000 euros. Cette situation interroge sur l’attribution des primes chez Apple.
La vulnérabilité, enregistrée sous le code CVE-2025-30466, a été corrigée dans la mise à jour Safari 18.4, publiée avec iOS/iPadOS 18.4 et macOS 15.4 en mars. RenwaX23 a reçu une indemnité pour sa découverte, mais celle-ci semble dérisoire au regard de la gravité du problème.
Apple justifie parfois les faibles paiements par le besoin d’interaction de l’utilisateur pour que l’exploit fonctionne. Cela pourrait indiquer que la perception d’Apple sur le risque réel diffère de celle des chercheurs. Une autre personne ayant signalé une vulnérabilité a également constaté une différence marquée entre l’évaluation attendue et le montant reçu, ce qui laisse perplexe.
Les implications de ces disparités
Ce décalage entre la gravité des failles et les compensations offertes pourrait avoir des conséquences inquiétantes. Les chercheurs pourraient être tentés de vendre leurs découvertes sur le marché noir plutôt que de les signaler à Apple. En effet, la prime pour des vulnérabilités critiques peut atteindre des sommes faramineuses, atteignant jusqu’à 5 millions d’euros dans certains cas.
Il est essentiel pour Apple de reconsidérer sa politique de récompenses afin d’encourager davantage les chercheurs à collaborer. Une approche plus équitable pourrait également renforcer la confiance envers le programme de sécurité de l’entreprise, tout en protégeant ses utilisateurs de potentielles menaces.