Tor : jusqu'à 4 000 dollars de récompense pour les failles de sécurité

Tor : jusqu’à 4 000 dollars de récompense pour les failles de sécurité

Le juste prix

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

24/07/2017 4 minutes
18

Tor : jusqu'à 4 000 dollars de récompense pour les failles de sécurité

Le projet Tor dispose désormais de son propre programme de chasse aux bugs. Il rémunèrera donc ceux qui découvrent des failles et les signalent de manière confidentielle. Les sommes pourront grimper jusqu’à 4 000 dollars, posant une fois de plus la question du trafic des failles.

Le projet Tor est connu pour son réseau décentralisé visant à anonymiser autant que possible les communications. Des clients sont proposés pour de nombreuses plateformes et les développeurs fournissent également un navigateur, en fait un Firefox ESR (support plus long) modifié et intégrant notamment le client de connexion.

Le réseau Tor en lui-même est neutre : tout le monde peut s’en servir. En fonction de l’actualité, on le voit ainsi mentionné dans des affaires de piratage, de pédopornographie, de trafic d’armes ou autre. Mais son intention première est bien de fournir une solution à ceux qui souhaitent s’exprimer librement dans des pays où ce n’est pas toujours possible. Activistes, défenseurs des libertés civiles, chercheurs ou encore avocats peuvent ainsi s’en servir.

Promesse tenue, Tor ouvre une chasse rémunérée aux bugs

Aussi les failles de sécurité dans le réseau Tor sont une précieuse ressource pour tous ceux qui aurait un intérêt particulier à pénétrer ses défenses. On se souvient par exemple que le FBI avait exploité une ou plusieurs faiblesses dans le cadre d’une enquête sur un réseau d’échanges de contenus pédopornographiques. L’équipe du projet, consciente que de telles brèches peuvent avoir aussi de graves conséquences sur la liberté d’expression, a décidé d’ouvrir un bug bounty, promis en décembre.

Ce type de programme, existant déjà chez nombre de grandes entreprises, propose de rémunérer les chercheurs et autres découvreurs de failles. Comme toujours, le barème dépend de la dangerosité de la vulnérabilité. Ici, on pourra empocher entre 100 et 500 dollars pour une faille de faible danger, de 500 à 2 000 dollars pour un danger moyen, et de 2 000 à 4 000 dollars pour les failles sévères. La fourchette permet de moduler la somme en fonction de l’impact potentiel. Notez que les petites sommes pour les brèches faiblement dangereuses seront accompagnées d’un t-shirt, d’autocollants et d’une mention du nom dans le « hall of fame ».

Puisque le projet Tor en lui-même est géré par une association à but non lucratif vivant essentiellement des dons, il était évident que les sommes ne pouvaient pas être élevés. Des entreprises telles qu’Apple, Google et Microsoft alignent parfois jusqu’à plusieurs centaines de milliers de dollars pour une seule faille critique. Le programme a en tout cas le mérite d’exister et pourrait en motiver certains.

Récompenses et problèmes éthiques

Les programmes de chasse ont cependant leurs limites. Les sommes engagées ont beau parfois s’envoler, elles ne sont rien face à ce que certaines entités sont capables d’aligner. Comme nous l’indiquions ce matin, l’exemple de Zerodium à l’automne dernier était parlant : l’entreprise proposant 1,5 million de dollars à celui ou celle qui lui apporterait une faille 0-day exploitable dans iOS 10. Si une société peut fournir une telle somme pour une seule faille, c’est qu’elle est certaine de la rentabiliser avec ses clients.

Et c’est bien là tout le problème, essentiellement éthique. Tout développeur ou chercheur qui découvrira une faille pourrait être amené à choisir entre le programme officiel ou une somme beaucoup plus rondelette. La question se posera d’autant plus volontiers pour les vulnérabilités les plus sérieuses, celles pour lesquelles certains seront prêts à payer des centaines de milliers de dollars. Rappelons à titre d’exemple que le FBI a payé plus de 1,3 million de dollars pour la faille qui lui a permis de percer les défenses d’un iPhone 5c, dans le cadre de l’affaire de San Bernardino.

18

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Promesse tenue, Tor ouvre une chasse rémunérée aux bugs

Récompenses et problèmes éthiques

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (18)


C’est pas cher payé… A mon avis, un mec qui trouve une faille interessante aura bien plus interet a la vendre a des agences de renseignements qu’a la filer au projet.

Apple a le même problème actuellement : les bug bounty sont carrément pas assez chers. Ils devraient monter la récompense à plusieurs millions de $ pour rendre le programme interessant…


Sauf que dans le cas de Apple il y a aussi la valorisation d’avoir amélioré les choses, l’argent ne rend pas tout le monde criminel heureusement ^^.


Zerodium propose jusqu’à 30 000 $ pour Tor. Donc si je trouve une faille je leur file à eux, pas à Tor. Bon, je relance le tuto de CheatEngine.

<img data-src=" />


Y a des gens qui ont une éthique,&nbsp;



Entre revendre une faille a zerodium et être responsable de plusieurs mort / emprisonnement. Ou toucher 4000$, pourvoir dire que c’est nous qui avons trouvé la faille, être invité a des confs pour l’expliquer, y trouver un nouveau taf, et se faire plein de meuf car “je suis un hacker comme dans Mr Robot, et je bosse chez apple”


Mouai, une faille qui casse efficacement l’anonymat sur tor ca vaut largement son million de dollar.&nbsp;

Personnelement je tenterais un service de renseignent pour me payer une baraque. L’éthique OK, mais là y’a un rapport de 1:300 entre ce qu’ils proposent et ce que ça vaut réellement. A partir de 100 000$ peut être que ça marcherait, mais là j’ai un gros doute.


Mieux vaut trouver une faille dans tor que dans le site de vente de titres de transports publics de Budapest…&nbsp;



&nbsphttps://www.developpez.com/actu/151264/Hongrie-un-jeune-de-18-ans-arrete-apres-a…


Faut les moyens pour donner plusieurs millions de dollars, comme dit dans l’article.



Puisque le projet Tor en lui-même est géré par une association à but non lucratif vivant essentiellement des dons, il était évident que les sommes ne pouvaient pas être élevés.


Ou tu peux aussi faire le scenario de vendre ta vuln dans Tor à un état/service de gendarmerie qui l’utilisera pour faire tomber un réseau pédophile et sauver ainsi des enfants d’abus sexuels. Ca existe aussi.








Network_23 a écrit :



Faut les moyens pour donner plusieurs millions de dollars, comme dit dans l’article.







Je sais bien mais n’empeche que ca sert à rien car si ils ont pas les moyens de payer vraiment pour la valeur réelle des failles, ils vont dilapider leurs maigres revenus pour des gens qui auraient très certainement donné la faille même si c’était gratuit.



L’interet d’un bug bounty est d’attirer des gens qui n’auraient pas fait l’effort de reveler une faille autrement. Si tu ne peux atteindre cet objectif faute de moyens suffisants, autant ne rien faire…









neves a écrit :



Ou tu peux aussi faire le scenario de vendre ta vuln dans Tor à un état/service de gendarmerie qui l’utilisera pour faire tomber un réseau pédophile et sauver ainsi des enfants d’abus sexuels. Ca existe aussi.







“et la marmotte elle met le chocolat dans le papier d’alu…”



Ah oui j’avais oublié que les gendarmes c’est tous des gros c*ns qui ne travaillent qu’à vouloir faire chier les honnêtes citoyens en leur collant des pv injustifiés… <img data-src=" />



Le scenario que j’ai décrit existe même chez nous, si. Sinon publiquement il y a eu ça :



https://www.programmez.com/actualites/le-fbi-exploiterait-il-une-faille-de-firef…



Pas besoin de marmottes, donc.


Moui c’est une question de point de vue, pour moi ils ont au moins le mérite d’essayer, j’imagine qu’ils feront un point sur l’utilité de la mesure un peu plus tard.








matroska a écrit :



5 euros.







De quoi financer la baisse des APL. Etudiants, au boulot ! <img data-src=" />









ragoutoutou a écrit :



Mieux vaut trouver une faille dans tor que dans le site de vente de titres de transports publics de Budapest… 



&#160https://www.developpez.com/actu/151264/Hongrie-un-jeune-de-18-ans-arrete-apres-a…







Merci pour ton lien.



En même temps les étudiants qui s’insurgent de la baisse de 5 € de l’APL c’est les premiers que tu vois se murger la race dans des pubs à 8 € la pinte toute la soirée… Alors nous emmerder pour 5 €… Et je te parle pas des “à côtés” en soirée…



CQFD.