Discussion :

[Patrick Ruiz]

Sécurité : SpaceX invite les chercheurs de la filière à pirater le réseau Starlink
Et promet des primes allant jusqu’à 25 000 $ pour y déceler des failles

Quelqu'un est parvenu à pirater le réseau satellitaire Internet Starlink d'Elon Musk à l'aide d'un appareil artisanal de 25 $. SpaceX réagit et invite les chercheurs de la filière à pirater ledit réseau pour y déceler des failles. L’entreprise promet des primes allant jusqu’à 25 000 $.

SpaceX annonce que les chercheurs en sécurité sont les bienvenus pour pirater son réseau internet par satellite, Starlink. La société ajoute qu'elle pourrait leur verser jusqu'à 25 000 dollars pour la découverte de certains bogues dans le service.

Cette annonce fait suite à une sortie du chercheur en sécurité Lennert Wouters dans laquelle il déclarait avoir réussi à pirater Starlink à l'aide d'un appareil artisanal d'une valeur de 25 dollars. La divulgation s’est faite dans le cadre d’un programme de primes aux bugs de SpaceX destiné aux chercheurs de la filière désireux de soumettre leurs découvertes de vulnérabilités potentielles dans le réseau Starlink. Le piratage de Wouters, qui met en oeuvre une carte de circuit imprimé de fabrication artisanale, ne devrait pas inquiéter les utilisateurs de Starlink et n'affectera pas directement les satellites, d’après ce que rapporte SpaceX.

Les ingénieurs de la société poursuivent en interne avec les tentatives de piratage afin d'améliorer le service et de le rendre plus sûr. L'entreprise a accueilli tous les chercheurs en sécurité qui souhaitaient contribuer à la sécurisation de Starlink, en leur demandant d'envisager de rejoindre l'équipe ou de faire part de leurs découvertes dans le cadre du programme de primes aux bugs de l'entreprise.

« Nous autorisons les chercheurs en sécurité responsables à effectuer leurs propres tests et nous leur offrons des récompenses monétaires lorsqu'ils trouvent et signalent des vulnérabilités », indique SpaceX .

Sur le site Web de SpaceX consacré au programme de récompense des bogues, il est indiqué que les chercheurs qui effectuent des tests non perturbateurs sur Starlink, rapportent les résultats et découvrent des vulnérabilités dans le cadre du programme peuvent recevoir une récompense comprise entre 100 et 25 000 dollars.

Le site répertorie 32 chercheurs qui, selon SpaceX, ont signalé d'importants problèmes de sécurité dans Starlink. Il indique également que le paiement moyen au cours des trois derniers mois était de 973 dollars.

Source : Starlink

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Une tribu amérindienne obtient un accès anticipé à Starlink de SpaceX et dit que c'est rapide, « nous avons été catapultés au XXIe siècle », a déclaré la tribu Hoh
SpaceX cherche à construire des satellites Internet Starlink de nouvelle génération, d'après des offres d'emploi publiées sur sa page dédiée au sujet

Le service Internet par satellite Starlink d'Elon Musk a été approuvé au Royaume-Uni, et les utilisateurs reçoivent déjà leurs kits bêta
SpaceX ajoute des liaisons laser pour relier les satellites entre eux afin de desservir les zones polaires de la Terre, réduisant ainsi le besoin de stations au sol

[emixam16]

Je suis toujours un peu embêté par ce genre d'initiatives.

D'un coté, ça permet aux chercheurs de tenter d'exploiter des vulnérabilités en ayant l'assurance qu'ils ne risquent pas de poursuites judiciaires.

Mais d'un autre coté, ce genre d'initiatives sert uniquement à sous-traiter le boulot de pentesting à des chercheurs externes (pigeons?), et de leur donner une somme ridicule en comparaison des efforts mis en jeu. (Si je trouve une faille tous les 6 mois je me fais en moyenne la somme mirobolante de 162€ par mois)...

[gangsoleil]

Hello,

Je suis pour ce genre d'initiative, qui permet à des chercheurs de différentes spécialités de se pencher sur des logiciels, augmentant globalement le niveau de sécurité. Bien sûr, ça doit être en plus des personnes internes dédiées à la sécurité.

Là où je suis plus dubitatif, c'est sur le paiement des sommes. Les entreprises mettent en avant de grosses sommes (25 000 $), mais en fait ne payent que très rarement ces sommes ; ce qui est confirmé ici, puisqu'il est question d'un paiement moyen de 973$ pour d'importants problèmes de sécurité...

D'autres entreprises (comme Google notamment), ont une autre approche : elles répondent souvent que la faille indiquée par un chercheur n'est qu'un dérivé d'une autre faille, et donc que ce n'est pas une nouvelle faille, et hop ils ne paient pas -- mais ils corrigent quand même.