C’est une pratique répandue au sein des entreprises qui fournissent des services sur le web. Par contre, elle l’est moins du côté des fabricants de smartphones. Mais peut-être que la tendance va changer dans les semaines à venir avec la décision prise par Samsung de lancer un programme de chasse aux bugs (ou « bug bounty » en anglais) pour récompenser la découverte de failles.
Le principe de ce type de dispositif est simple : n’importe qui peut informer Samsung de l’existence d’une vulnérabilité dans ses produits et services. Il peut s’agir d’un simple bug de fonctionnement ou d’une faille critique pouvant causer des dommages significatifs au matériel ou mettre en péril des données personnelles. Bien sûr, il faut que le souci soit démontrable pour que Samsung puisse le corriger.
En fonction de l’ampleur du problème, la récompense sera plus ou moins élevée ; si le rapport envoyé au constructeur sud-coréen est valide, sachez que le montant minimal qu’il est possible de décrocher est de 200 dollars. La somme sera cent fois plus importante si le signalement présente une brèche d’une exceptionnelle gravité. Les conditions d’éligibilité et de versement sont précisées sur cette page.
Voici la liste des produits concernés par le programme de Samsung. Notez que la société demande à ce que la brèche détectée fonctionne avec un terminal totalement à jour, que ce soit au niveau du système d’exploitation (Android) ou du micrologiciel (firmware). Des services et des applications peuvent aussi être éligibles, à condition qu’ils servent encore à Samsung et qu’ils soient à jour.
- Galaxy S (S8, S8+, S8 Active, S7, S7 edge, S7 Active, S6 edge+, S6, S6 edge, S6 Active)
- Galaxy Note (Note 8, Note FE, Note 5, Note 4, Note edge)
- Galaxy A (A3 (2016), A3 (2017), A5 (2016), A5 (2017), A7 (2017))
- Galaxy J (J1 (2016), J1 Mini, J1 Mini Prime, J1 Ace, J2 (2016), J3 (2016), J3 (2017), J3 Pro, J3 Pop, J5 (2016), J5 (2017), J7 (2016), J7 (2017), J7 Max, J7 Neo, J7 Pop)
- Galaxy Tab (Tab S2 L Refresh, Tab S3 9.7).
Aide extérieure
En ouvrant un bug bounty, Samsung renforce de fait sa politique de sécurité puisque le groupe cadre les contributions extérieures visant à l’aider à renforcer la sûreté de son écosystème ; c’est une couche qui s’ajoute à celle déjà en place au sein de l’entreprise, avec ses développeurs, ses équipes de sécurité et ceux en charge du contrôle qualité, qui, chacun à leur manière, doivent vérifier que tout est d’équerre.
Si les sommes peuvent sembler élevées pour des rapports de sécurité, c’est en réalité peu cher payé en comparaison des dégâts financiers et de notoriété que la firme subirait si une brèche passée inaperçue était exploitée par un tiers malveillant, alors qu’une chasse aux bugs aurait peut-être pu la déceler avant. Mieux vaut donc payer quelques centaines de milliers de dollars avant, plutôt que de devoir verser des millions après.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
