Photo : Josh Appel sur Unsplash
Apple, connu pour encourager les chercheurs en sécurité à découvrir et à signaler les failles dans ses appareils et logiciels, offre des primes qui peuvent atteindre les 2 millions de dollars. Cependant, un chercheur a récemment signalé une vulnérabilité critique dans Safari et n’a reçu que 1 000 dollars pour sa découverte.
Selon un rapport de Macworld, cette faille, identifiée comme une vulnérabilité Universal Cross-Site Scripting (UXSS), permet à un attaquant de se faire passer pour un utilisateur et d’accéder à ses données. Ce n’est pas une petite faille, car elle a reçu une note de gravité de 9,8 sur 10. Pourtant, son découvreur, qui se fait appeler RenwaX23, n’a reçu qu’une prime de 1 000 dollars.
Cette faille a été répertoriée sous l’identifiant CVE-2025-30466 et a été corrigée dans la version 18.4 de Safari. Apple, qui avait auparavant annoncé une moyenne de 40 000 dollars par prime et des paiements allant jusqu’à 175 000 dollars, pourrait avoir jugé ce montant approprié si l’exploitation nécessitait une interaction de l’utilisateur.
À la lumière de ces faibles paiements, certains chercheurs pourraient être tentés de vendre leurs découvertes sur le marché noir, où les failles critiques peuvent se négocier beaucoup plus cher. Il est primordial pour Apple de maintenir un programme incitatif afin de protéger ses utilisateurs tout en encourageant les bonnes pratiques chez les chercheurs en sécurité.
