Le logiciel Cryptocat, qui permet des communications chiffrées entre les correspondants, dispose désormais d’un programme de chasse aux bugs. Il est cependant limité et ressemble davantage à une chasse au trésor, puisque seul le premier découvreur sera récompensé.
De nombreux éditeurs disposent désormais d’un programme dit de « bug bounty » : ils récompensent les chercheurs en sécurité et autres experts pour les failles de sécurité qu’ils débusquent. Des récompenses financières plus ou moins substantielles, en fonction des moyens de l’entreprise. Ces programmes ont une importance capitale dans la sécurité des produits.
Une récompense unique de 500 dollars
Cryptocat dispose de son propre « bug bounty » désormais, mais son fonctionnement diffère largement de ce qu’on a pu voir jusqu’à présent. D’une part parce qu’il n’est pas permanent : il a démarré hier et ne se poursuivra que pendant un an environ, jusqu’au 30 décembre 2017.
Ensuite parce que la récompense n’est que de 500 dollars, un chiffre qui a toute son importance. Enfin parce que cette somme ne sera attribuée qu’au premier à découvrir d’une faille, qui aura évidemment accompagné son analyse d’une preuve de son exploitation (PoC) et d’une autorisation explicite pour la publication de ces informations.
La faille doit être particulièrement sérieuse
La faille elle-même doit être de dangerosité haute à critique. Elle doit par exemple permettre une exploitation du compte à distance, l’imitation d’un appareil ou d’un utilisateur, le déchiffrement d’un message ou encore l’exécution d’un code arbitraire. Des failles sérieuses donc et qui auraient le pouvoir de remettre en question la sécurité entière du service, qui en a fait son principal argument.
Tous les participants au programme pourront transmettre les détails de leurs découvertes (s’il y en a) à « nadim » sous Cryptocat, du nom de l’auteur du logiciel, Nadim Kobeissi. Dans l’annonce du programme de chasse aux bugs, il précise d’ailleurs que le vainqueur, en plus d’empocher les 500 dollars, recevra également un « bon livre » choisi par l’équipe sur Amazon, la reconnaissance de son travail sur le site officiel du logiciel ainsi qu’une note personnalisée de remerciement. En cas d’arrivée ex-aequo, c’est la faille jugée la plus grave qui l’emportera.
Bug bounty contre marché gris
Comme indiqué précédemment, ce type de programme est particulièrement important pour la sécurité d’un produit. Il focalise l’attention sur le code du logiciel, la quête de reconnaissance et/ou de gains financiers étant un puissant moteur de motivation. Cependant, il n’est pas certain qu’une somme aussi limitée motive suffisamment le découvreur d’une faille, qui pourrait éventuellement en tirer un prix nettement plus élevé sur le marché gris.
Il s’agit d’une véritable problématique aujourd’hui, tant la recherche de failles revêt un aspect nettement plus officiel et public que précédemment. La NSA a déjà communiqué sur ce sujet, et la Navy n’avait pas hésité à publier une annonce en ce sens. Dans sa lutte pour déverrouiller un iPhone 5c récalcitrant, le FBI avait acheté une faille plus de 1,3 million de dollars. En octobre, la société Zerodium promettait jusqu’à 1,5 million de dollars pour une faille 0-day dans iOS 10. Des sommes telles qu’elles peuvent facilement détourner certains d’une participation vertueuse à un bug bounty aux récompenses souvent beaucoup plus faibles.
