Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Samsung : jusqu'à 200 000 dollars pour une faille sur des terminaux mobiles

À condition qu’ils soient récents
Mobilité 4 min
Samsung : jusqu'à 200 000 dollars pour une faille sur des terminaux mobiles
Crédits : Zoonar RF/iStock/ThinStock

Samsung vient de lancer un programme de chasse aux bugs. Le constructeur est la dernière grande entreprise en date à récompenser financièrement les découvertes de failles. Un signe évident des temps, la sécurité informatique étant devenue un enjeu crucial.

Exploiter une faille de sécurité est un objectif pour de nombreux acteurs. On pense évidemment aux pirates, mais les agences de renseignement, les forces de l’ordre et même l’armée recherchent activement des brèches, si possible de type 0-day (aucun correctif au moment de l’exploitation). Trouver de telles portes est même une activité commerciale pour des entreprises comme Zerodium, capable d’offrir jusqu’à 1,5 million de dollars.

La plupart des grands acteurs du monde informatique – Apple, Google, Microsoft… - proposent tous des programmes de chasse aux bugs. L’idée est simple : récompenser par des sommes plus ou moins importantes les chercheurs qui fournissent des rapports sur des problèmes de sécurité. Samsung, plus gros vendeur mondial de smartphones, les rejoint en voulant frapper fort.

De 200 à 200 000 dollars selon la gravité

Les primes iront donc de 200 à 200 000 dollars, un plafond élevé, même pour une grande entreprise. De manière assez classique, les vulnérabilités signalées seront réparties en quatre catégories : faible, modéré, élevé et critique. Évidemment, seules les failles les plus graves débloqueront les récompenses les plus élevées, comme partout ailleurs. Si le problème soulevé n’a aucun impact concret, il n’y aura aucune somme versée.

Samsung donne quelques détails sur les failles considérées comme les plus dangereuses. Elles doivent par exemple pouvoir être exploitées sans nécessiter initialement de droits élevés. Si elle peut être exploitée à distance ou si elle affecte le bootloader de l’appareil, la récompense risque également de suivre.

Des appareils de 2016 ou 2017

À propos des appareils, il ne suffit pas qu’il soit de marque Samsung pour faire l’objet d’une traque aux bugs. Il ne doit pas être plus vieux que 2016 et doit appartenir aux séries suivantes :

  • Galaxy S : S8, S8+, S8 Active, S7, S7 Edge, S7 Active, S6 Edge+, S6, S6 Edge, S6 Active
  • Galaxy Note : Note 8, Note FE, Note 5, Note 4, Note Edge
  • Galaxy A : A3 (2016), A3 (2017), A5 (2016), A5 (2017), A7 (2017)
  • Galaxy J : J1 (2016), J1 Mini, J1 Mini Prime, J1 Ace, J2 (2016), J3 (2016), J3 (2017), J3 Pro, J3 Pop, J5 (2016), J5 (2017), J7 (2016), J7 (2017), J7 Max, J7 Neo, J7 Pop
  • Galaxy Tab : Tab S2 L Refresh, Tab S3 9.7

D’autres conditions sont également à prendre en compte. La toute dernière version disponible d’Android doit avoir été installée. Dans le cas où le système ne recevrait plus de nouvelles fonctionnalités, c’est la dernière mise à jour de sécurité mensuelle (ou trimestrielle selon les cas) qui devra être présente. Toutes les applications internes de Samsung doivent en outre être à jour. Les applications tierces peuvent être éligibles, à condition qu’elles soient spécifiques aux appareils Samsung.

L'éternelle question des sommes versées

Soulignons quand même deux questions. D'une part, les sommes proposées seront-elles suffisantes ? Elles peuvent paraître élevées, mais ne pèsent parfois pas lourd face à ce que des structures plus ou moins officielles sont capables de verser. Les programmes de ce type tablent sur l’éthique professionnelle des chercheurs, mais tous les découvreurs de failles ne travaillent pas pour des sociétés de sécurité.

Il existe toujours le risque qu’un développeur passionné ou qu’un pirate trouve une brèche. Ce qu’il fait des détails est alors à sa seule discrétion. S’il a le choix entre 20 000 dollars chez l’éditeur concerné ou 200 000 chez une entreprise de type Zerodium, il se dirigera peut-être vers la plus grosse somme.

Les primes ont donc le mérite d’exister, mais leur efficacité dépend des montants. Dans le cas de Samsung, elles se situent clairement dans le haut du pavé. Seule Microsoft va plus loin avec un maximum de 250 000 dollars. Mais la question se pose davantage pour des petites structures telles que Tor, qui ne peut aligner que 4 000 dollars pour les failles les plus sérieuses dans son réseau.

D'autre part, les appareils pointés par Samsung ne sont qu'une sélection de smartphones et tablettes. Pourtant, la firme coréenne propose une très large sélection d'objets connectés, dont des montres et des téléviseurs. La sécurité de cette catégorie d'objets a été pointée du doigt à de nombreuses reprises, et on s'étonne donc de voir une telle limite au programme. À moins qu’il ne s’agisse que d’une première étape visant à le roder. 

19 commentaires
Avatar de Arcy Abonné
Avatar de ArcyArcy- 12/09/17 à 10:25:16

D'autre part, les appareils pointés par Samsung ne sont qu'une sélection de smartphones et tablettes. Pourtant, la firme coréenne propose une très large sélection d'objets connectés, dont des montres et des téléviseurs. La sécurité de cette catégorie d'objets a été pointée du doigt à de nombreuses reprises, et on s'étonne donc de voir une telle limite au programme. À moins qu’il ne s’agisse que d’une première étape visant à le roder.
Ou alors les téléphones et les objets connectés partagent une base commune et découvrir des failles dans cette base (chez les téléphones) permettra de MàJ les objets connectés sans pour autant avouer que c'est bourré de failles.

Avatar de Trog Abonné
Avatar de TrogTrog- 12/09/17 à 10:36:15

Voilà pourquoi je n'achèterai plus Samsung. Je ne comprends même pas pourquoi le S5 n'est pas dans la liste puisqu'il bénéficie toujours à ma connaissance des mises à jour de sécurité. Ras-le-bol de l'obsolescence programmée de ce constructeur.

Avatar de Dj Abonné
Avatar de DjDj- 12/09/17 à 11:05:43

Arcy a écrit :

Ou alors les téléphones et les objets connectés partagent une base commune et découvrir des failles dans cette base (chez les téléphones) permettra de MàJ les objets connectés sans pour autant avouer que c'est bourré de failles.

Dans les objets connectés, ils partent souvent de zero pour avoir la taille de mémoire minimale.

Partir par exemple d'un android light pour faire un objet connecté impliquerait une augmentation énorme de la puissance de calcul et de la mémoire

Toute l'informatique embarqué (dont est issus les objet connectés) sont optimisé spécifiquement pour un matériel.  Partir d'une base commune c'est l'opposé 

Avatar de revker Abonné
Avatar de revkerrevker- 12/09/17 à 11:12:01

N'est-ce pas le but d'Android One, une version allégée ?

Avatar de revker Abonné
Avatar de revkerrevker- 12/09/17 à 11:14:51

D’autres conditions sont également à prendre en compte. La toute dernière version disponible d’Android doit avoir été installée. Dans le cas où le système ne recevrait plus de nouvelles fonctionnalités, c’est la dernière mise à jour de sécurité mensuelle (ou trimestrielle selon les cas) qui devra être présente. Toutes les applications internes de Samsung doivent en outre à jour. Les applications tierces peuvent être éligibles, à condition qu’elles soient spécifiques aux appareils Samsung.Etant donné le fractionnement des mises à jour, ne serait-ce qu'entre les versions nues et opérateurs d'un même appareil, ça promet :)

Avatar de revker Abonné
Avatar de revkerrevker- 12/09/17 à 11:16:27

Le bloc de citation n'est pas des plus pratiques. Donc :

 D’autres conditions sont également à prendre en compte. La toute dernière version disponible d’Android doit avoir été installée. Dans le cas où le système ne recevrait plus de nouvelles fonctionnalités, c’est la dernière mise à jour de sécurité mensuelle (ou trimestrielle selon les cas) qui devra être présente. Toutes les applications internes de Samsung doivent en outre à jour. Les applications tierces peuvent être éligibles, à condition qu’elles soient spécifiques aux appareils Samsung.

 => Etant donné le fractionnement des mises à jour, ne serait-ce qu'entre les versions nues et opérateurs d'un même appareil, ça promet :)

Édité par revker le 12/09/2017 à 11:18
Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 12/09/17 à 12:14:53

Arcy a écrit :

Ou alors les téléphones et les objets connectés partagent une base commune et découvrir des failles dans cette base (chez les téléphones) permettra de MàJ les objets connectés sans pour autant avouer que c'est bourré de failles.

ou alors ils se ruineraient tellement il y en a :troll: (ou pas)

Avatar de skankhunt42 Abonné
Avatar de skankhunt42 skankhunt42 - 12/09/17 à 14:42:21

S’il a le choix entre 20 000 dollars chez l’éditeur concerné ou 200 000 chez une entreprise de type Zerodium, il se dirigera peut-être vers la plus grosse somme.

C'est surtout qu'actuellement tu à le choix entre contacter une entreprise qui te dira " ont est pas samsung ", qui te filera 0€ et qui si tu refuse contactera la police pour te retrouver ou alors revendre cette faille. En général tu finis par ne rien faire pour avoir la conscience tranquille.

Le pire la dedans c'est qu'il y à quelques sites public qui récences des failles pour des milliers de sites et c'est vraiment le lulz quand tu te rend compte que 1 an après publication elle sont toujours actives... Et encore le pire c'est même pas ça mais de voir que les failles peuvent être colmater en lisant le premier paragraphe de n'importe quel site d'informatique qui parle de sécurité ( genre un xss dans un champ de recherche ).

Avatar de Mr.Nox INpactien
Avatar de Mr.NoxMr.Nox- 12/09/17 à 17:51:43

Cela n'a rien à voir avec l'obsolescence programmée.

Avatar de Patch INpactien
Avatar de PatchPatch- 12/09/17 à 18:45:34

Mr.Nox a écrit :

Cela n'a rien à voir avec l'obsolescence programmée.

Le non-support volontaire de téléphones encore fonctionnels (au moins niveau sécu, s'ils ne veulent plus faire de MAJ logicielle) n'en est pas? Tu es sûr?

Édité par Patch le 12/09/2017 à 18:46
Il n'est plus possible de commenter cette actualité.
Page 1 / 2