Samsung a offert sa première prime de 1 million de dollars à quiconque parviendrait à compromettre Knox Vault, le sous-système isolé que le géant coréen intègre dans ses smartphones pour stocker des informations telles que les identifiants et exécuter des routines d’authentification.
Samsung n’a pas facilité la tâche pour devenir millionnaire grâce à la détection de bugs. Pour gagner de l’argent, il faut démontrer qu’il utilise une méthode sans clic (aucune interaction de l’utilisateur n’est requise) pour pirater un téléphone Galaxy S ou Z en tant qu’utilisateur non privilégié et repartir avec des informations d’identification.
Comme Le coffre-fort de Knox dispose de son propre processeur et de son propre stockage – tous deux isolés du processeur principal du téléphone et donc résistants aux attaques qui exploitent les ressources partagées – le défi auquel sont confrontés les pirates est de taille.
Obtenir le même résultat avec un accès local ne rapportera que 300 000 $ dans le cadre de l’ nouveaux termes du programme de vulnérabilité des scénarios importants de Samsung.
Une autre cible de taille est TEEGRIS de Samsung, un environnement d’exécution de confiance présent dans certains appareils qui utilisent les propres SOC Exynos du géant coréen. Démontrer une compromission réussie rapportera 400 000 $ si elle est effectuée à distance, tandis qu’un crack local en rapportera 200 000 $. Mais attention : la simple subversion d’une application Trustlets dans le logiciel ne compte pas : vous devez vaincre directement le système d’exploitation.
Pour ceux qui souhaitent attaquer le système d’exploitation REE (Rich Execution Environment) de Samsung, les récompenses sont moins lucratives : 150 000 $ pour une attaque locale et le double pour une attaque à distance, mais encore une fois avec des réserves. Le paiement variera en fonction du degré d’escalade de privilèges que les attaquants peuvent atteindre et de l’efficacité du code qu’ils peuvent exécuter.
Les personnes qui parviennent à débloquer un appareil Samsung et à piller les données de l’utilisateur avant que le téléphone ne soit déverrouillé pour la première fois empocheront jusqu’à 400 000 $ – bien que cela dépende de la quantité d’informations qui peuvent être récupérées. Si un attaquant parvient à vaincre le moteur anti-malware Auto Blocker de Samsung, il pourra gagner 100 000 $ supplémentaires, mais vous devrez établir une présence persistante sur l’appareil pour obtenir le paiement complet.
D’autres applications sont également incluses dans le programme de paiement. Parvenir à installer à distance une application depuis une boutique d’applications tierce vaut 100 000 $, ou la moitié si elle est effectuée localement. Ce montant tombe à 60 000 $ et 30 000 $ pour les applications déjà présentes dans le Galaxy Store de Samsung, pour les piratages à distance et locaux respectivement.
« Après avoir dirigé le programme pendant plusieurs années, la plus grande leçon que j’ai apprise est que les chercheurs sont mes amis chers et reconnaissants qui prennent le temps d’examiner nos produits sous différents angles et contribuent à les rendre sûrs et sécurisés », a écrit Jasper Park, responsable de l’équipe de réponse aux incidents de sécurité des produits de Samsung Mobile Security. « J’apprécie sincèrement votre aide. »
Si les grosses primes sont alléchantes, le bilan de Samsung suggère qu’elles sont proportionnelles à la difficulté. Au cours des sept années écoulées depuis le lancement du programme, Samsung a versé moins de 5 millions de dollars – et la récompense individuelle la plus élevée de l’année dernière n’était que de 57 190 dollars. En 2023, Samsung a versé 827 925 dollars à 113 personnes pour leurs efforts de recherche de bugs.
Pour de l’argent réel, choisissez Redmond
En revanche, Microsoft a dépensé des sommes astronomiques pour des bugs : 343 attaquants de 55 pays ont empoché 16,6 millions de dollars au cours des 12 mois se terminant en juillet de cette année. La plus grosse récompense de Redmond s’élevait à 200 000 dollars, versée à un individu anonyme.
Microsoft a résisté pendant des années à l’idée de lancer des primes aux bugs, mais a finalement été convaincu de les essayer après trois ans de campagne menée par Katie Moussouris, alors stratège en sécurité senior chez Redmond et aujourd’hui PDG de Luta Security. Le programme de primes a été lancé lors de la conférence sur la sécurité Black Hat 2013, avec un prix principal de 100 000 $ et un ordinateur portable gratuit, malheureusement sous Windows 8.1, mais on ne peut pas tout avoir.
Dans une étude ultérieure, Moussouris a trouvé une bonne nouvelle pour Samsung : l’argent n’est pas nécessairement le facteur de motivation principal pour certains chercheurs en sécurité. Deux ans après que Microsoft a lancé son programme de récompenses, elle a mené une étude montrant que, dans certains cas, la publicité pour les entreprises des chercheurs de failles était plus importante que l’argent.
Mais l’argent est toujours intéressant, et c’est un programme peu coûteux à gérer pour Redmond – coûtant environ deux heures de revenu net pour le distributeur de logiciels sur la base de ses comptes 2024.
« Le programme Microsoft Bounty est essentiel à notre stratégie proactive de programmes de recherche incitatifs visant à inciter la communauté de recherche externe à s’associer et à protéger nos clients contre les menaces de sécurité », commenté Madeline Eckert, responsable principale du programme d’incitations aux chercheurs chez Microsoft.
« Ces programmes encouragent les chercheurs à mettre en évidence les vulnérabilités des surfaces d’attaque hautement prioritaires, permettant ainsi à Microsoft de renforcer nos produits dans un paysage de sécurité en constante évolution. » ®
2024-08-08 04:15:00
1723085558
#Samsung #augmente #prime #bug #million #dollars #pour #crackage #Knox #Vault #Register
