Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Tor : jusqu'à 4 000 dollars de récompense pour les failles de sécurité

Le juste prix
Internet 3 min
Tor : jusqu'à 4 000 dollars de récompense pour les failles de sécurité
Crédits : AlexSava/iStock

Le projet Tor dispose désormais de son propre programme de chasse aux bugs. Il rémunèrera donc ceux qui découvrent des failles et les signalent de manière confidentielle. Les sommes pourront grimper jusqu’à 4 000 dollars, posant une fois de plus la question du trafic des failles.

Le projet Tor est connu pour son réseau décentralisé visant à anonymiser autant que possible les communications. Des clients sont proposés pour de nombreuses plateformes et les développeurs fournissent également un navigateur, en fait un Firefox ESR (support plus long) modifié et intégrant notamment le client de connexion.

Le réseau Tor en lui-même est neutre : tout le monde peut s’en servir. En fonction de l’actualité, on le voit ainsi mentionné dans des affaires de piratage, de pédopornographie, de trafic d’armes ou autre. Mais son intention première est bien de fournir une solution à ceux qui souhaitent s’exprimer librement dans des pays où ce n’est pas toujours possible. Activistes, défenseurs des libertés civiles, chercheurs ou encore avocats peuvent ainsi s’en servir.

Promesse tenue, Tor ouvre une chasse rémunérée aux bugs

Aussi les failles de sécurité dans le réseau Tor sont une précieuse ressource pour tous ceux qui aurait un intérêt particulier à pénétrer ses défenses. On se souvient par exemple que le FBI avait exploité une ou plusieurs faiblesses dans le cadre d’une enquête sur un réseau d’échanges de contenus pédopornographiques. L’équipe du projet, consciente que de telles brèches peuvent avoir aussi de graves conséquences sur la liberté d’expression, a décidé d’ouvrir un bug bounty, promis en décembre.

Ce type de programme, existant déjà chez nombre de grandes entreprises, propose de rémunérer les chercheurs et autres découvreurs de failles. Comme toujours, le barème dépend de la dangerosité de la vulnérabilité. Ici, on pourra empocher entre 100 et 500 dollars pour une faille de faible danger, de 500 à 2 000 dollars pour un danger moyen, et de 2 000 à 4 000 dollars pour les failles sévères. La fourchette permet de moduler la somme en fonction de l’impact potentiel. Notez que les petites sommes pour les brèches faiblement dangereuses seront accompagnées d’un t-shirt, d’autocollants et d’une mention du nom dans le « hall of fame ».

Puisque le projet Tor en lui-même est géré par une association à but non lucratif vivant essentiellement des dons, il était évident que les sommes ne pouvaient pas être élevés. Des entreprises telles qu’Apple, Google et Microsoft alignent parfois jusqu’à plusieurs centaines de milliers de dollars pour une seule faille critique. Le programme a en tout cas le mérite d’exister et pourrait en motiver certains.

Récompenses et problèmes éthiques

Les programmes de chasse ont cependant leurs limites. Les sommes engagées ont beau parfois s’envoler, elles ne sont rien face à ce que certaines entités sont capables d’aligner. Comme nous l’indiquions ce matin, l’exemple de Zerodium à l’automne dernier était parlant : l’entreprise proposant 1,5 million de dollars à celui ou celle qui lui apporterait une faille 0-day exploitable dans iOS 10. Si une société peut fournir une telle somme pour une seule faille, c’est qu’elle est certaine de la rentabiliser avec ses clients.

Et c’est bien là tout le problème, essentiellement éthique. Tout développeur ou chercheur qui découvrira une faille pourrait être amené à choisir entre le programme officiel ou une somme beaucoup plus rondelette. La question se posera d’autant plus volontiers pour les vulnérabilités les plus sérieuses, celles pour lesquelles certains seront prêts à payer des centaines de milliers de dollars. Rappelons à titre d’exemple que le FBI a payé plus de 1,3 million de dollars pour la faille qui lui a permis de percer les défenses d’un iPhone 5c, dans le cadre de l’affaire de San Bernardino.

18 commentaires
Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 24/07/17 à 14:06:26

4000$ us ou asgardiens ?

Avatar de anonyme_5af96fc0c6bcfcf63dedfe7bc68a4860 Abonné

Asgardiens.

Avatar de matroska INpactien
Avatar de matroskamatroska- 24/07/17 à 14:25:18

5 euros.

Avatar de KP2 Abonné
Avatar de KP2KP2- 24/07/17 à 15:56:45

C'est pas cher payé... A mon avis, un mec qui trouve une faille interessante aura bien plus interet a la vendre a des agences de renseignements qu'a la filer au projet.
Apple a le même problème actuellement : les bug bounty sont carrément pas assez chers. Ils devraient monter la récompense à plusieurs millions de $ pour rendre le programme interessant...

Édité par KP2 le 24/07/2017 à 15:59
Avatar de quegorosoit INpactien
Avatar de quegorosoitquegorosoit- 24/07/17 à 16:46:15

Sauf que dans le cas de Apple il y a aussi la valorisation d'avoir amélioré les choses, l'argent ne rend pas tout le monde criminel heureusement ^^.

Avatar de janiko Abonné
Avatar de janikojaniko- 24/07/17 à 17:03:53

Zerodium propose jusqu'à 30 000 $ pour Tor. Donc si je trouve une faille je leur file à eux, pas à Tor. Bon, je relance le tuto de CheatEngine.
:fumer:

Édité par janiko le 24/07/2017 à 17:04
Avatar de Dj Abonné
Avatar de DjDj- 24/07/17 à 19:25:34

Y a des gens qui ont une éthique, 

Entre revendre une faille a zerodium et être responsable de plusieurs mort / emprisonnement. Ou toucher 4000$, pourvoir dire que c'est nous qui avons trouvé la faille, être invité a des confs pour l'expliquer, y trouver un nouveau taf, et se faire plein de meuf car "je suis un hacker comme dans Mr Robot, et je bosse chez apple"

Avatar de t0FF INpactien
Avatar de t0FFt0FF- 25/07/17 à 06:03:45

Mouai, une faille qui casse efficacement l'anonymat sur tor ca vaut largement son million de dollar. 
Personnelement je tenterais un service de renseignent pour me payer une baraque. L'éthique OK, mais là y'a un rapport de 1:300 entre ce qu'ils proposent et ce que ça vaut réellement. A partir de 100 000$ peut être que ça marcherait, mais là j'ai un gros doute.

Édité par t0FF le 25/07/2017 à 06:07
Avatar de ragoutoutou Abonné
Avatar de ragoutoutouragoutoutou- 25/07/17 à 07:40:21

Mieux vaut trouver une faille dans tor que dans le site de vente de titres de transports publics de Budapest... 

&nbsphttps://www.developpez.com/actu/151264/Hongrie-un-jeune-de-18-ans-arrete-apres-a...

Avatar de Network_23 INpactien
Avatar de Network_23Network_23- 25/07/17 à 10:17:05

Faut les moyens pour donner plusieurs millions de dollars, comme dit dans l'article.

Puisque le projet Tor en lui-même est géré par une association à but non lucratif vivant essentiellement des dons, il était évident que les sommes ne pouvaient pas être élevés.

Édité par Network_23 le 25/07/2017 à 10:17
Il n'est plus possible de commenter cette actualité.
Page 1 / 2