Souvenez-vous. C’était l’été dernier. Lors d’une démonstration technique devant des journalistes, des ingénieurs en sécurité informatique avaient révélé l’existence d’une faille dans la sécurité de certains véhicules connectés à Internet. Avec leur méthode, ils auraient pu potentiellement prendre le contrôle à distance de plusieurs centaines de milliers de voitures.
Dans cette affaire, 471 000 modèles de marque Fiat Chrysler vendus depuis fin 2013 avec le système UConnect qui étaient concernés.
Le problème était sérieux : outre des actions anodines (augmenter le son de la radio, activer la ventilation, klaxonner…), des manœuvres affectant directement la conduite étaient possibles : freiner, couper le moteur, accélérer, tourner le volant, neutraliser les freins… Fiat Chrysler a donc lancé un vaste rappel et déployé un patch à appliquer par clé USB pour neutraliser immédiatement cet accès à distance.
C’est à la suite de cette affaire que le constructeur automobile Fiat Chrysler a choisi de mettre en place un programme destiné à récompenser ceux qui participent à la chasse aux bugs dans ses logiciels embarqués. Les gains vont de 150 à 1 500 dollars selon le degré de criticité des vulnérabilités qui sont signalées à l’entreprise. C’est la société Bugcrowd qui gère ce programme pour le compte de Fiat Chrysler.
Bugcrowd constitue une interface entre bidouilleurs et spécialistes de la sécurité informatique d’un côté et entreprises de l’autre. Parmi les groupes qui passent par ce site figurent Silent Circle (chiffrement), Western Union (transfert d’argent), LastPass (gestion de mots de passe), Pinterest (photographies), Tesla Motors (automobile), AVG (antivirus), FitBit (objets connectés) et Spotify (musique).
Les gains démarrent à 150 dollars, avec un plafond à 1 500 dollars
Les domaines sur lesquels Fiat Chrysler souhaite que les participants s’activent sont le système UConnect — forcément — et eco:Drive, qui est un dispositif de suivi en temps réel des émissions de CO2 de la voiture. Sont concernés les applications mobiles pour Android et iOS, ainsi que les sites web dédiés. Le système de bord est aussi couvert, tout comme les services et les applications externes qui interagissent avec lui
Les règles de soumission d’un bug découvert dans le cadre du programme sont détaillées sur la page Bugcrowd dédiée, ainsi que la liste des éléments qui ne donnent pas droit à une récompense (par exemple une erreur HTTP détectée sur le site, une coupure du site, ou la vulnérabilité CSRF sur les pages qui ne sont pas authentifiées). Il n’est pas interdit de les soumettre, mais ils ne rapporteront rien.
À bord de la Chrysler.
« Nous examinerons chaque rapport et ferons ce qui est en notre pouvoir pour pouvoir corriger chaque vraie faille aussi vite que possible. Dans le but d’encourager la divulgation responsable [des failles], nous n’entreprendrons aucune action en justice à l’encontre des chercheurs qui participent à ce programme à condition qu’ils respectent les lignes directrices », écrit le constructeur automobile.
La décision de Fiat Chrysler rappelle celle de Tesla Motors, qui invite aussi les spécialistes en sécurité à lui envoyer les failles qu’ils découvrent, et qui peuvent aussi déboucher sur des gains. Dans le cas du constructeur automobile spécialisé dans les voitures électriques et semi-autonomes, les récompenses vont de 100 à 10 000 dollars. Tesla Motors passe aussi par Bugcrowd.
Un pratique qui se généralise
Les programmes de chasses aux bugs sont courant dans le milieu du logiciel. Des sociétés comme Facebook, Google, Dropbox, Mozilla et de nombreuses autres récompensent ceux qui participent à la sécurisation de leurs produits et services, avec des gains qui peuvent parfois atteindre plusieurs milliers (voire dizaines de milliers) de dollars, si la brèche est particulièrement grave.
Pour les sociétés, ce type d’initiative est très intéressant car il permet de faire appel à des talents extérieurs — qui s’additionnent donc avec leurs propres employés — pour dénicher des faiblesses à des coûts finalement assez faibles : quelques centaines ou milliers de dollars (même si sur le long terme, en cumulant toutes les récompenses distribuées, cela peut représenter une très grosse somme).
Dans le cas de Fiat Chrysler, on devine sans difficulté que cette dépense est bien plus acceptable et supportable que d’organiser le rappel de plusieurs millions de voitures ou qu’un éventuel dommage en termes d’image de marque et de dépenses judiciaires si un accident avait eu lieu parce que la vulnérabilité détectée par les chercheurs avait été exploitée par des individus peu scrupuleux.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
