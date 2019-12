Comme promis pour la première fois en août, le programme de primes aux bogues d'Apple est désormais ouvert à tous.

Il s'agissait auparavant d'une initiative sur invitation uniquement, qui a suscité des critiques car elle a incité les non-invités à vendre des informations sur les vulnérabilités aux entreprises et aux gouvernements qui les exploiteraient pour obtenir un accès non autorisé aux appareils Apple…

Apple avait auparavant augmenté les paiements maximaux après des plaintes concernant de faibles récompenses, ce qui rendait plus probable que même les invités seraient tentés de vendre des failles de sécurité sur le marché noir pour des sommes beaucoup plus élevées.

Un microsite Apple Security Bounty contient tous les détails, y compris l'admissibilité.

Pour être éligible à une prime de sécurité Apple, le problème doit se produire sur les dernières versions publiquement disponibles d'iOS, iPadOS, macOS, tvOS ou watchOS avec une configuration standard et, le cas échéant, sur le dernier matériel disponible publiquement. Ces règles d'éligibilité visent à protéger les clients jusqu'à ce qu'une mise à jour soit disponible, à garantir qu'Apple puisse rapidement vérifier les rapports et créer les mises à jour nécessaires, et récompenser correctement ceux qui effectuent des recherches originales. Les chercheurs doivent:

Soyez le premier à signaler le problème à Apple Product Security.

Fournissez un rapport clair, qui comprend un exploit fonctionnel (détaillé ci-dessous).

Ne pas divulguer le problème publiquement avant qu'Apple publie l'avis de sécurité pour le rapport. (Généralement, l'avis est publié avec la mise à jour associée pour résoudre le problème).

Les problèmes inconnus d'Apple et propres aux développeurs bêta désignés et aux bêtas publics, y compris les régressions, peuvent entraîner un paiement de bonus de 50%. Les problèmes de qualification comprennent: