Comme Intel, Microsoft propose un programme de chasse aux bugs pour combattre les vulnérabilités de type Spectre et Meltdown. Ces failles permettent de mener des attaques par canal auxiliaire sur des opérations d’exécution spéculative. Le géant des logiciels propose jusqu'à 250 000 dollars par découverte.

Révélées au grand public en début d’année, Spectre et Meltdown sont des failles d’un nouveau genre car elles permettent de conduire des attaques par canal auxiliaire sur des opérations d’exécution spéculative que les processeurs effectuent. En première ligne du fait des produits qu’elle commercialise, l’entreprise Intel a pris conscience de la menace et lancé un programme dédié de chasse aux bugs.

Une sage décision. Ces attaques permettent en effet de récupérer des données qui sont potentiellement sensibles en se basant sur les effets indirects de l’exécution du programme se servant de ces données. Ici, la brèche touche l’exécution spéculative, une méthode qui anticipe les actions à venir du processeur afin de lui faire gagner du temps et de les abandonner si elles ne surviennent pas.

Pour le dire autrement, ce sont séquences d’instruction qui n’ont pas vraiment lieu.

Outre une récompense pouvant s’élever jusqu’à 250 000 dollars pour toute personne qui lui signale l’existence d’une possibilité d’attaque avérée par canal auxiliaire sur l’exécution spéculative sur ses produits, le groupe américain a déployé des correctifs logiciels pour tous ses processeurs vendus depuis cinq ans et indiqué que la future génération bénéficiera d’un changement de conception au niveau matériel.

intel-cpu-processeur
CC Dmitry Grigoriev

Jusqu’à 250 000 dollars

Mais Intel n’est pas la seule entreprise à considérer le risque posé par cette nouvelle classe d’attaque. Le 14 mars, Microsoft a lui aussi annoncé la mise en place d’un programme de récompense spécial, qui durera jusqu’au 31 décembre 2018, comme Intel. Là encore, il s’agit de motiver la recherche informatique pour déceler des vulnérabilités de cette nature et y apporter une réponse technique.

Trois niveaux de récompense sont prévus, selon la gravité de la découverte : 25 000, 200 000 et 250 000 dollars. Il peut s’agir d’une classe s’attaque visant Windows 10 ou le navigateur Microsoft Edge, d’une faiblesse capable de se jouer des mesures d’atténuation existant dans Windows ou Azure (qui est plateforme de Microsoft pour le stockage dans le cloud) ou d’une nouvelle catégorie de vulnérabilité.

Partager sur les réseaux sociaux