Vous voulez gagner rapidement 250 000 $? Qui ne le fait pas, n'est-ce pas? Si vous disposez du savoir-faire nécessaire pour détecter les vulnérabilités matérielles et logicielles, cette récompense importante pourrait être à votre portée. Intel propose désormais un programme de bug bounty mis à jour jusqu'au 31 décembre 2018, fixant cette jolie petite somme de monnaie comme paiement maximum pour la traque des « vulnérabilités des canaux secondaires ». Ces les vulnérabilités sont des failles cachées dans les opérations logicielles et matérielles typiques qui pourraient potentiellement conduire les pirates vers des données sensibles, comme le récent Exploits Meltdown et Spectre.
« En soutien à notre récent engagement à donner la priorité à la sécurité, nous avons apporté plusieurs mises à jour à notre programme », indique la société. « Nous pensons que ces changements nous permettront d'impliquer plus largement la communauté de recherche en sécurité et fournir de meilleures incitations pour une réponse et une divulgation coordonnées qui aident à protéger nos clients et leurs données."
Vidéos recommandées
Intel a initialement lancé son Programme de prime aux bogues en mars 2017 en tant que plan sur invitation uniquement pour certains chercheurs en sécurité. Le programme est désormais ouvert à tous dans l'espoir de minimiser une autre découverte de type Meltdown en utilisant un bassin plus large de chercheurs. La société augmente également le montant des récompenses pour toutes les autres primes, dont certaines offrent jusqu'à 100 000 $.
La liste des exigences d'Intel pour signaler les vulnérabilités des canaux secondaires est quelque peu courte, y compris la Âge requis de 18 ans, intervalle de six mois entre le travail avec Intel et le signalement d'un problème, entre autres exigences. Tous les rapports doivent être chiffrés avec la clé PGP publique Intel PSIRT, ils doivent identifier un problème original non divulgué, inclure les résultats des calculs CVSS v3, etc.
Intel veut que les chercheurs en sécurité traquent les bogues dans ses processeurs, chipsets, disques SSD et autonomes des produits tels que les NUC, les chipsets de mise en réseau et de communication et les réseaux de portes programmables sur site intégrés circuits. Intel répertorie également cinq types de micrologiciels et trois types de logiciels qui relèvent de son programme de primes aux bogues: pilotes, applications et outils.
“Intel attribuera une prime pour le premier rapport d'une vulnérabilité avec suffisamment de détails pour permettre sa reproduction par Intel », déclare la société. “Intel attribuera une prime allant de 500 $ à 250 000 USD en fonction de la nature de la vulnérabilité, de la qualité et du contenu du rapport. Le premier rapport externe reçu sur une vulnérabilité connue en interne recevra une récompense maximale de 1 500 USD.
En janvier, des chercheurs ont rendu public une vulnérabilité découverte dans les processeurs datant de 2011, qui permet aux pirates d'accéder à la mémoire du système et de récupérer des données sensibles. Le vecteur d'attaque tire parti d'une méthode utilisée par les processeurs pour prédire le résultat d'une chaîne de processus. Grâce à cette technique prédictive, les processeurs stockent les données sensibles dans la mémoire système dans un état non sécurisé.
Une méthode pour accéder à ces données s'appelle Meltdown, qui nécessite un logiciel spécial pour capturer les données. Avec Spectre, les pirates pourraient tromper des applications et des programmes légitimes pour qu'ils crachent les données sensibles. Les deux méthodes sont théoriques et ne sont actuellement pas activement exploitées dans la nature, mais Intel semble quelque peu gêné par les problèmes potentiels.
"Nous continuerons à faire évoluer le programme si nécessaire pour le rendre aussi efficace que possible et pour nous aider à remplir notre engagement en matière de sécurité", promet Intel.
Recommandations des rédacteurs
- L'UE va proposer des bug bounties pour détecter des failles de sécurité dans les logiciels open source
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
