Alors qu’App’e s’apprête à dévoiler des milliards de dollars engrangés, la voici sous le feu des projecteurs pour chicherie avérée ! En effet, son programme de bug bounty, censé récompenser généreusement les chercheurs en cybersécurité qui découvrent des vulnérabilités dans ses produits, est à nouveau critiqué.
Un chercheur affirme n’avoir reçu que 1 000 dollars pour avoir signalé une faille critique dans Safari, évaluée à 9,8/10 en gravité, malgré le plafond théorique fixé par Apple à 2 millions de dollars pour les failles les plus sérieuses.
Une faille critique dans Safari
Le chercheur, connu sous le pseudonyme RenwaX23 sur X, a découvert une vulnérabilité de type UXSS (Universal Cross-Site Scripting), permettant à un attaquant d’usurper l’identité d’un utilisateur et d’accéder à ses données personnelles.
Dans sa démonstration, l’exploit donnait accès à iCloud et à l’appareil photo iOS, ce qui constitue un risque majeur pour la vie privée. La faille -enregistrée sous la référence CVE-2025-30466- a été corrigée en mars dernier avec Safari 18.4, déployé en parallèle d’iOS/iPadOS 18.4 et macOS 15.4.
Un paiement jugé dérisoire
Malgré la gravité de la faille, Apple n’aurait versé que 1 000 dollars à RenwaX23 (même pas le prix d’un iPhone 16 Pro). Selon certains observateurs, elle aurait considéré que l’exploit nécessitait une interaction préalable de l’utilisateur, un critère qui réduit la récompense.
Mais cette justification peine à convaincre dans le milieu. Un autre chercheur affirme avoir reçu 5 000 dollars pour une faille qui, selon les barèmes publics d’Apple, aurait dû rapporter 50 000 dollars.
Un programme généreux… sur le papier
Apple avait renforcé son programme de bug bounty en 2022, annonçant une moyenne de 40 000 dollars par faille signalée, 20 paiements à six chiffres pour des problèmes à fort impact, et un record à 175 000 dollars, versés à un étudiant qui avait réussi à pirater les caméras d’un Mac et d’un iPhone.
À l’inverse, l’expérience actuelle de plusieurs chercheurs semble indiquer une application beaucoup plus restrictive des critères de récompense.
Une polémique qui pourrait décourager les chercheurs
Ces témoignages relancent les critiques sur le programme d’Apple, accusé de minimiser les paiements afin de limiter ses coûts. Ce choix pourrait se révéler contre-productif : faute d’incitations financières suffisantes, certains chercheurs pourraient choisir de vendre leurs découvertes sur des marchés parallèles plutôt que de les signaler à Apple.
Pour une entreprise qui se veut championne de la sécurité et de la confidentialité, Apple pourrait voir son image écornée si la communauté des chercheurs en cybersécurité juge son programme de bug bounty peu fiable ou injuste.
