Intel tente de sauver la face avec un programme de Bug Bounty primant jusqu’à 250 000 dollars
Intel tente de sauver la face avec un programme de Bug Bounty primant jusqu’à 250 000 dollars,
afin d’éviter un nouvel épisode Meltdown
Intel a lancé un programme public de Bug Bounty qui prévoit des récompenses individuelles allant jusqu’à 250 000 dollars, a annoncé la société dans un communiqué de presse. Ce programme n’est pas le premier du genre ouvert par la société. En effet, Intel avait déjà lancé un programme similaire, mais celui-ci était limité aux soumissions de quelques chercheurs en sécurité sélectionnés par la société.
Le nouveau programme de Bug Bounty sera hébergé sur la plateforme HackerOne et Intel a ouvert son matériel, son Firmware et ses logiciels pour l’occasion. Tout chercheur en sécurité possédant un compte HackerOne peut désormais rechercher une liste de bogues dans les produits Intel tels que les processeurs, le code du chipset, les SSD, les cartes mères, les cartes réseau et leurs microprogrammes, mais aussi les pilotes et applications pour les différents systèmes d’exploitation.
Selon la nature des bogues qu’ils trouveront, les chercheurs pourraient gagner entre 500 et 250 000 dollars. Le programme est en réalité divisé en deux parties. Une première qui est le programme normal de récompense, illimité dans le temps, avec des primes allant de 500 à 100 000 dollars. La seconde partie du programme va récompenser les chercheurs qui auront découvert des bogues causés par le matériel d’Intel ainsi que les bogues exploitables par un logiciel. Cette partie du programme sera ouverte jusqu’au 31 décembre 2018.
C’est donc les chercheurs qui auront découvert des bogues classés dans la deuxième partie du programme qui seront les mieux récompensés. En effet, les primes pour ces bogues peuvent aller de 5 000 $ à 250 000 dollars. Selon Intel, les bogues classés dans cette catégorie sont les vulnérabilités liées à la conception matérielle du composant et celles qui sont exploitables par un logiciel local. C’est dans cette catégorie que se classent d’ailleurs les vulnérabilités Meltdown et Spectre.
Intel déclare qu’il va payer les chercheurs en fonction de l’échelle de gravité CVSS v3.0 de la vulnérabilité. Meltdown (CVE-2017-5754), Spectre Variante 1 (CVE-2017-5753) et Spectre Variante 2 (CVE-2017-5715) ont le même score de sévérité CVSS de 5,9. Cela signifie que, selon le tableau ci-dessus, chacun de ces bogues aurait permis aux chercheurs d’obtenir un maximum de 20 000 dollars et un total de 60 000 dollars.
Grâce à son nouveau programme de Bug Bounty, Intel tente d’effacer l’image d’un processus de patch qui s’est avéré désastreux. En effet, la société a été avisée des bogues de Meltdown et de Spectre en juin 2017, mais il a fallu quatre mois à la société pour avertir les équipementiers des problèmes. Malgré cela, lorsque les vulnérabilités ont été divulguées publiquement, Intel n’avait pas de correctifs CPU disponibles à fournir aux différents équipementiers. Jusqu’à ce jour, les vulnérabilités Meltdown et Spectre ne sont pas encore totalement corrigées.
Source : Hackerone
Et vous ?
Que pensez-vous de ce programme lancé par Intel ?
Voir aussi
Répondre avec citation
Partager