Tor lancera bientôt son propre programme de chasse aux bugs

Le projet Tor, qui anonymise les communications, a récemment indiqué qu’il allait lancer son propre programme de chasse aux bugs. Prévu dans un premier temps pour fonctionner sur invitation uniquement, il récompensera donc les chercheurs et hackers pour la découverte de soucis et autres failles de sécurité.

Le réseau Tor a été créé pour anonymiser les conversations. Cette sécurité n’est pas absolue et, comme tout logiciel, il peut être affecté par des failles de sécurité. On se souvient d’ailleurs des révélations récentes au sujet de failles qui auraient été trouvées par une université et exploitées par le FBI dans le cadre d’une enquête sur un trafic de drogue. L’association qui dirige Tor avait fortement réagi à ces informations, et il n’est pas impossible que l’annonce récente soit liée.

Découvrir les bugs et failles avant qu'ils ne soient un problème

Elle a en effet indiqué il y a quelques jours que l’année 2016 serait le théâtre du tout premier programme de chasse aux bugs dans son histoire. Dans un premier temps, seuls les chercheurs en sécurité et les hackers invités pourront participer, mais le fonctionnement global du programme sera le même que tous les autres : en cas de bug trouvé, une récompense financière sera accordée, la valeur fluctuant en fonction des critères imposés. En général, la gravité du bug (donc la dangerosité de la faille le cas échéant) ainsi que sa reproductibilité, ses conditions d’exploitations, la documentation et la présence d’un proof-of-concept sont des éléments capitaux.

Dans le cas de Tor, le programme fonctionne en association avec plusieurs partenaires. L’Open Technology Fund aidera notamment à financer les primes accordées, tandis que HackerOne s’occupera de la coordination de l’ensemble. Comme expliqué à MotherBoard par le développeur en chef de Tor, Mike Perry, l’objectif est évidemment de rendre l’ensemble du réseau plus fiable et de débusquer les éventuelles failles de sécurité qui pourraient être utilisées par les pirates et agences de renseignement.

Le fonctionnement de l’ensemble ressemblera finalement à ce que l’on trouve déjà chez de grosses entreprises telles que Google et Microsoft. Il peut arriver qu’un chercheur, s’il met en évidence une importante faille, puisse recevoir jusqu’à plusieurs dizaines de milliers de dollars pour son travail. L’activité peut donc être lucrative, et il s’agit d’un moyen efficace pour motiver les professionnels à se pencher sur la sécurité d’un code.

Éviter les dérives

Tor cherche peut-être également à éviter un véritable flou sur la manière trouble dont sont parfois gérées les failles. Ces dernières sont activement recherchées par les agences de renseignement notamment en vue de les exploiter pour obtenir des informations. Les failles 0-day, que l’on peut donc exploiter sans même que l’éditeur concerné soit au courant ou dispose d’une solution, sont ainsi de véritables armes de cyberguerre. Or, la société Zerodium a accordé début novembre dernier la somme d’un million de dollars pour la découverte d’une faille exploitable dans toutes les moutures récentes d’iOS. La société avait indiqué à Wired qu’elle ne comptait pas en fournir les détails à Apple, posant la question de l’exploitation de cette brèche par des entités inconnues.

Le réseau Tor espère probablement ne pas tomber dans ce cas de figure, ses différents clients de connexion, y compris le Browser, étant utilisés dans des situations parfois très sensibles, notamment dans les pays où la liberté d’expression est restreinte. Les développeurs sont conscients qu’aucun code n’est parfait et qu’il doit bien exister des failles : autant les découvrir rapidement dans le cadre d’un programme parfaitement maitrisé que les laisser disponibles.

Comme indiqué précédemment, les premiers mois de ce programme seront consacrés au rodage de la machinerie. Des personnes précises seront invitées pour tester cette mécanique somme toute assez nouvelle pour le réseau Tor. Par la suite, à une date non précisée, le programme sera ouvert à tout un chacun, ce qui changera tout le fonctionnement : n’importe quel chercheur ou autre pourra contacter l’association en passant par le circuit mis en place pour avertir les développeurs d’un problème. Il manque d’ailleurs certaines informations précises sur ledit circuit, et surtout sur un point capital : la valeur des récompenses et leurs critères. Quoi qu’il en soit, tous les clients de connexion seront concernés, puisqu’il n’y aucun sens par exemple à corriger la version Windows tout en laissant les moutures OS X et Linux vulnérables.