1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    janvier 2013
    Messages
    320
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Sénégal

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2013
    Messages : 320
    Points : 8 685
    Points
    8 685
    Billets dans le blog
    1

    Par défaut Intel tente de sauver la face avec un programme de Bug Bounty primant jusqu’à 250 000 dollars

    Intel tente de sauver la face avec un programme de Bug Bounty primant jusqu’à 250 000 dollars,
    afin d’éviter un nouvel épisode Meltdown

    Intel a lancé un programme public de Bug Bounty qui prévoit des récompenses individuelles allant jusqu’à 250 000 dollars, a annoncé la société dans un communiqué de presse. Ce programme n’est pas le premier du genre ouvert par la société. En effet, Intel avait déjà lancé un programme similaire, mais celui-ci était limité aux soumissions de quelques chercheurs en sécurité sélectionnés par la société.

    Le nouveau programme de Bug Bounty sera hébergé sur la plateforme HackerOne et Intel a ouvert son matériel, son Firmware et ses logiciels pour l’occasion. Tout chercheur en sécurité possédant un compte HackerOne peut désormais rechercher une liste de bogues dans les produits Intel tels que les processeurs, le code du chipset, les SSD, les cartes mères, les cartes réseau et leurs microprogrammes, mais aussi les pilotes et applications pour les différents systèmes d’exploitation.

    Selon la nature des bogues qu’ils trouveront, les chercheurs pourraient gagner entre 500 et 250 000 dollars. Le programme est en réalité divisé en deux parties. Une première qui est le programme normal de récompense, illimité dans le temps, avec des primes allant de 500 à 100 000 dollars. La seconde partie du programme va récompenser les chercheurs qui auront découvert des bogues causés par le matériel d’Intel ainsi que les bogues exploitables par un logiciel. Cette partie du programme sera ouverte jusqu’au 31 décembre 2018.

    C’est donc les chercheurs qui auront découvert des bogues classés dans la deuxième partie du programme qui seront les mieux récompensés. En effet, les primes pour ces bogues peuvent aller de 5 000 $ à 250 000 dollars. Selon Intel, les bogues classés dans cette catégorie sont les vulnérabilités liées à la conception matérielle du composant et celles qui sont exploitables par un logiciel local. C’est dans cette catégorie que se classent d’ailleurs les vulnérabilités Meltdown et Spectre.

    Intel déclare qu’il va payer les chercheurs en fonction de l’échelle de gravité CVSS v3.0 de la vulnérabilité. Meltdown (CVE-2017-5754), Spectre Variante 1 (CVE-2017-5753) et Spectre Variante 2 (CVE-2017-5715) ont le même score de sévérité CVSS de 5,9. Cela signifie que, selon le tableau ci-dessus, chacun de ces bogues aurait permis aux chercheurs d’obtenir un maximum de 20 000 dollars et un total de 60 000 dollars.

    Nom : Capture.PNG
Affichages : 2252
Taille : 38,5 Ko

    Grâce à son nouveau programme de Bug Bounty, Intel tente d’effacer l’image d’un processus de patch qui s’est avéré désastreux. En effet, la société a été avisée des bogues de Meltdown et de Spectre en juin 2017, mais il a fallu quatre mois à la société pour avertir les équipementiers des problèmes. Malgré cela, lorsque les vulnérabilités ont été divulguées publiquement, Intel n’avait pas de correctifs CPU disponibles à fournir aux différents équipementiers. Jusqu’à ce jour, les vulnérabilités Meltdown et Spectre ne sont pas encore totalement corrigées.

    Source : Hackerone

    Et vous ?

    Que pensez-vous de ce programme lancé par Intel ?

    Voir aussi

    Vulnérabilités Meltdown et Spectre : Intel devrait livrer ses premiers processeurs dotés de protections intégrées au plus tard cette année

    Apple pourrait se tourner de façon exclusive vers Intel pour équiper ses prochains iPhone en modems et délaisser Qualcomm

    Meltdown et Spectre : Intel publie un nouveau microcode pour la plateforme SkyLake. Des correctifs pour Broadwell et Haswell sont déjà en tests

  2. #2
    Membre averti
    Profil pro
    Développeur .NET
    Inscrit en
    octobre 2010
    Messages
    78
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : octobre 2010
    Messages : 78
    Points : 364
    Points
    364

    Par défaut

    Si Meltdown et Spectre sont des faille à 20K$, je me demande à quoi doit correspondre une faille à 250K$... Il faut que cela puisse déclencher une guerre nucléaire?

  3. #3
    Membre averti
    Homme Profil pro
    Technicien réseau
    Inscrit en
    décembre 2014
    Messages
    123
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Technicien réseau

    Informations forums :
    Inscription : décembre 2014
    Messages : 123
    Points : 438
    Points
    438

    Par défaut

    Ça frôle carrément les bons d'achat. Quelle mesquinerie !

  4. #4
    MikeRowSoft
    Invité(e)

    Par défaut

    En rapport avec l'actualité et j'ai eu l'info ailleurs...

    https://www.theregister.co.uk/2018/02/14/meltdown_spectre_exploit_variant/


    Toujours aucun correctif pour CPU Intel® Atom™ x3-C3200 Quad-Core, 64bit...
    J'ai pourtant une tablette ASUS avec adresse MAC ayant encore "77" et qui n'a pourtant rien reçu comme mise à jour récente...
    Seul l'antivirus en reçois et je me demande bien où le constructeur à vue qu'il y avait matériellement une connectique 3G ou pour carte SIM ?
    Dernière modification par MikeRowSoft ; 17/02/2018 à 03h55.

Discussions similaires

  1. Réponses: 2
    Dernier message: 04/08/2017, 13h00
  2. Comment sauver un RichEdit avec ses attributs ?
    Par Nicolas Coolman dans le forum Débutant
    Réponses: 3
    Dernier message: 23/03/2009, 17h41
  3. Mort du PC, tentative de sauver les données
    Par SquallSaga dans le forum Composants
    Réponses: 19
    Dernier message: 26/01/2009, 01h46
  4. tentative de création de QCM avec sql
    Par gintoxic dans le forum Langage SQL
    Réponses: 9
    Dernier message: 04/02/2008, 12h33
  5. [JFileChooser]Sauver un fichier avec extension forcée
    Par FLCEOAP dans le forum Agents de placement/Fenêtres
    Réponses: 10
    Dernier message: 03/03/2005, 01h11

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo