Samsung vient de lancer un programme de chasse aux bugs. Le constructeur est la dernière grande entreprise en date à récompenser financièrement les découvertes de failles. Un signe évident des temps, la sécurité informatique étant devenue un enjeu crucial.
Exploiter une faille de sécurité est un objectif pour de nombreux acteurs. On pense évidemment aux pirates, mais les agences de renseignement, les forces de l’ordre et même l’armée recherchent activement des brèches, si possible de type 0-day (aucun correctif au moment de l’exploitation). Trouver de telles portes est même une activité commerciale pour des entreprises comme Zerodium, capable d’offrir jusqu’à 1,5 million de dollars.
La plupart des grands acteurs du monde informatique – Apple, Google, Microsoft… - proposent tous des programmes de chasse aux bugs. L’idée est simple : récompenser par des sommes plus ou moins importantes les chercheurs qui fournissent des rapports sur des problèmes de sécurité. Samsung, plus gros vendeur mondial de smartphones, les rejoint en voulant frapper fort.
De 200 à 200 000 dollars selon la gravité
Les primes iront donc de 200 à 200 000 dollars, un plafond élevé, même pour une grande entreprise. De manière assez classique, les vulnérabilités signalées seront réparties en quatre catégories : faible, modéré, élevé et critique. Évidemment, seules les failles les plus graves débloqueront les récompenses les plus élevées, comme partout ailleurs. Si le problème soulevé n’a aucun impact concret, il n’y aura aucune somme versée.
Samsung donne quelques détails sur les failles considérées comme les plus dangereuses. Elles doivent par exemple pouvoir être exploitées sans nécessiter initialement de droits élevés. Si elle peut être exploitée à distance ou si elle affecte le bootloader de l’appareil, la récompense risque également de suivre.
Des appareils de 2016 ou 2017
À propos des appareils, il ne suffit pas qu’il soit de marque Samsung pour faire l’objet d’une traque aux bugs. Il ne doit pas être plus vieux que 2016 et doit appartenir aux séries suivantes :
- Galaxy S : S8, S8+, S8 Active, S7, S7 Edge, S7 Active, S6 Edge+, S6, S6 Edge, S6 Active
- Galaxy Note : Note 8, Note FE, Note 5, Note 4, Note Edge
- Galaxy A : A3 (2016), A3 (2017), A5 (2016), A5 (2017), A7 (2017)
- Galaxy J : J1 (2016), J1 Mini, J1 Mini Prime, J1 Ace, J2 (2016), J3 (2016), J3 (2017), J3 Pro, J3 Pop, J5 (2016), J5 (2017), J7 (2016), J7 (2017), J7 Max, J7 Neo, J7 Pop
- Galaxy Tab : Tab S2 L Refresh, Tab S3 9.7
D’autres conditions sont également à prendre en compte. La toute dernière version disponible d’Android doit avoir été installée. Dans le cas où le système ne recevrait plus de nouvelles fonctionnalités, c’est la dernière mise à jour de sécurité mensuelle (ou trimestrielle selon les cas) qui devra être présente. Toutes les applications internes de Samsung doivent en outre être à jour. Les applications tierces peuvent être éligibles, à condition qu’elles soient spécifiques aux appareils Samsung.
L'éternelle question des sommes versées
Soulignons quand même deux questions. D'une part, les sommes proposées seront-elles suffisantes ? Elles peuvent paraître élevées, mais ne pèsent parfois pas lourd face à ce que des structures plus ou moins officielles sont capables de verser. Les programmes de ce type tablent sur l’éthique professionnelle des chercheurs, mais tous les découvreurs de failles ne travaillent pas pour des sociétés de sécurité.
Il existe toujours le risque qu’un développeur passionné ou qu’un pirate trouve une brèche. Ce qu’il fait des détails est alors à sa seule discrétion. S’il a le choix entre 20 000 dollars chez l’éditeur concerné ou 200 000 chez une entreprise de type Zerodium, il se dirigera peut-être vers la plus grosse somme.
Les primes ont donc le mérite d’exister, mais leur efficacité dépend des montants. Dans le cas de Samsung, elles se situent clairement dans le haut du pavé. Seule Microsoft va plus loin avec un maximum de 250 000 dollars. Mais la question se pose davantage pour des petites structures telles que Tor, qui ne peut aligner que 4 000 dollars pour les failles les plus sérieuses dans son réseau.
D'autre part, les appareils pointés par Samsung ne sont qu'une sélection de smartphones et tablettes. Pourtant, la firme coréenne propose une très large sélection d'objets connectés, dont des montres et des téléviseurs. La sécurité de cette catégorie d'objets a été pointée du doigt à de nombreuses reprises, et on s'étonne donc de voir une telle limite au programme. À moins qu’il ne s’agisse que d’une première étape visant à le roder.