Intel généralise son programme de chasse aux bugs afin que n'importe quel expert en sécurité informatique puisse lui signaler une vulnérabilité dans ses produits. En outre, la société lance une action dédiée pour essayer de repérer des brèches similaires à Meltdown et Spectre.

À partir du mois de mars 2017, Intel a eu la bonne idée de mettre en place un système de récompense pour remercier financièrement les experts en sécurité informatique qui lui signalent l’existence de vulnérabilités, selon une procédure bien encadrée. De cette façon, l’entreprise américaine peut recevoir l’aide de talents extérieurs, en plus de ses propres ingénieurs et techniciens.

Toutefois, le programme de la société spécialisée dans la conception de processeurs n’était pas ouvert à tout le monde. Il fonctionnait avec un système d’invitation, ce qui limitait de facto l’efficacité de cette « chasse aux bugs ». Ce modèle a vécu. Dans un communiqué publié le 14 février, Intel annonce que tout le monde peut dorénavant soumettre des rapports sur des failles.

intel-cpu-processeur-i7
CC Michael Saechang

Penser hors de la boîte

C’est une très bonne décision du groupe. Il faut noter que la découverte de certaines brèches nécessite parfois de « penser hors de la boîte », une tâche qui peut être plus facile quand on n’est pas au cœur du réacteur.

En clair, ce ne sont pas toujours les personnes les plus proches d’Intel, surtout s’il est leur employeur, qui sont les mieux à même de trouver certaines faiblesses dans des logiciels ou des matériels, faute d’avoir assez de recul pour imaginer des risques d’un genre nouveau. C’est exactement ce qu’il s’est passé avec les vulnérabilités Meltdown et Spectre, qui ont été repérées par des spécialistes n’étant pas salariés d’Intel.

spectre
Le logo pour représenter Spectre.

Ces deux failles permettent de mener des attaques par canal auxiliaire sur des opérations d’exécution spéculative effectuées par les processeurs. Ces opérations visent à anticiper les actions suivantes afin de gagner du temps et de les abandonner si elles ne surviennent pas. La difficulté était donc d’intellectualiser des risques de sécurité informatique sur des séquences d’instruction qui n’existent pas vraiment.

D’ailleurs, on notera que dans le cadre de la « chasse aux bugs » mise en place par Intel, un nouveau programme de traque de vulnérabilités ciblant spécifiquement les dangers visant les canaux auxiliaires est annoncé. Il durera jusqu’au 31 décembre 2018 et permettra, selon la gravité des rapports signalés dans ce cadre, de débloquer des récompenses jusqu’à 250 000 dollars. Pour le reste, le plafond est maintenu à 100 000 dollars.

Les détails du programme d’Intel sont disponibles sur une page dédiée du site HackerOne.

Crédit photo de la une : stratman²

Partager sur les réseaux sociaux