Tor lancera bientôt son propre programme de chasse aux bugs
Une première phase sur invitation uniquement
Le 04 janvier 2016 à 14h00
5 min
Logiciel
Logiciel
Le projet Tor, qui anonymise les communications, a récemment indiqué qu’il allait lancer son propre programme de chasse aux bugs. Prévu dans un premier temps pour fonctionner sur invitation uniquement, il récompensera donc les chercheurs et hackers pour la découverte de soucis et autres failles de sécurité.
Le réseau Tor a été créé pour anonymiser les conversations. Cette sécurité n’est pas absolue et, comme tout logiciel, il peut être affecté par des failles de sécurité. On se souvient d’ailleurs des révélations récentes au sujet de failles qui auraient été trouvées par une université et exploitées par le FBI dans le cadre d’une enquête sur un trafic de drogue. L’association qui dirige Tor avait fortement réagi à ces informations, et il n’est pas impossible que l’annonce récente soit liée.
Découvrir les bugs et failles avant qu'ils ne soient un problème
Elle a en effet indiqué il y a quelques jours que l’année 2016 serait le théâtre du tout premier programme de chasse aux bugs dans son histoire. Dans un premier temps, seuls les chercheurs en sécurité et les hackers invités pourront participer, mais le fonctionnement global du programme sera le même que tous les autres : en cas de bug trouvé, une récompense financière sera accordée, la valeur fluctuant en fonction des critères imposés. En général, la gravité du bug (donc la dangerosité de la faille le cas échéant) ainsi que sa reproductibilité, ses conditions d’exploitations, la documentation et la présence d’un proof-of-concept sont des éléments capitaux.
Dans le cas de Tor, le programme fonctionne en association avec plusieurs partenaires. L’Open Technology Fund aidera notamment à financer les primes accordées, tandis que HackerOne s’occupera de la coordination de l’ensemble. Comme expliqué à MotherBoard par le développeur en chef de Tor, Mike Perry, l’objectif est évidemment de rendre l’ensemble du réseau plus fiable et de débusquer les éventuelles failles de sécurité qui pourraient être utilisées par les pirates et agences de renseignement.
Le fonctionnement de l’ensemble ressemblera finalement à ce que l’on trouve déjà chez de grosses entreprises telles que Google et Microsoft. Il peut arriver qu’un chercheur, s’il met en évidence une importante faille, puisse recevoir jusqu’à plusieurs dizaines de milliers de dollars pour son travail. L’activité peut donc être lucrative, et il s’agit d’un moyen efficace pour motiver les professionnels à se pencher sur la sécurité d’un code.
Éviter les dérives
Tor cherche peut-être également à éviter un véritable flou sur la manière trouble dont sont parfois gérées les failles. Ces dernières sont activement recherchées par les agences de renseignement notamment en vue de les exploiter pour obtenir des informations. Les failles 0-day, que l’on peut donc exploiter sans même que l’éditeur concerné soit au courant ou dispose d’une solution, sont ainsi de véritables armes de cyberguerre. Or, la société Zerodium a accordé début novembre dernier la somme d’un million de dollars pour la découverte d’une faille exploitable dans toutes les moutures récentes d’iOS. La société avait indiqué à Wired qu’elle ne comptait pas en fournir les détails à Apple, posant la question de l’exploitation de cette brèche par des entités inconnues.
Le réseau Tor espère probablement ne pas tomber dans ce cas de figure, ses différents clients de connexion, y compris le Browser, étant utilisés dans des situations parfois très sensibles, notamment dans les pays où la liberté d’expression est restreinte. Les développeurs sont conscients qu’aucun code n’est parfait et qu’il doit bien exister des failles : autant les découvrir rapidement dans le cadre d’un programme parfaitement maitrisé que les laisser disponibles.
Comme indiqué précédemment, les premiers mois de ce programme seront consacrés au rodage de la machinerie. Des personnes précises seront invitées pour tester cette mécanique somme toute assez nouvelle pour le réseau Tor. Par la suite, à une date non précisée, le programme sera ouvert à tout un chacun, ce qui changera tout le fonctionnement : n’importe quel chercheur ou autre pourra contacter l’association en passant par le circuit mis en place pour avertir les développeurs d’un problème. Il manque d’ailleurs certaines informations précises sur ledit circuit, et surtout sur un point capital : la valeur des récompenses et leurs critères. Quoi qu’il en soit, tous les clients de connexion seront concernés, puisqu’il n’y aucun sens par exemple à corriger la version Windows tout en laissant les moutures OS X et Linux vulnérables.
Tor lancera bientôt son propre programme de chasse aux bugs
-
Découvrir les bugs et failles avant qu'ils ne soient un problème
-
Éviter les dérives
Commentaires (19)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 04/01/2016 à 14h11
Je me demande qui financera de telles primes il me semblait qu’ils ne roulaient pas sur l’or
Le 04/01/2016 à 14h25
tu as tor…Ou non…
" />
Apparement ils sont financés (60% par US gouvernement!!??), a voir sur wikipedia.
Le 04/01/2016 à 14h35
Tous les services de renseignement viennent d’avoir un augmentation de budget, ils vont sortir de vieilles failles qui trainent (et plus utilisé) dans les cartons
Le 04/01/2016 à 14h35
Ils sont financés en partie par des dons
Le 04/01/2016 à 14h36
Le 04/01/2016 à 14h39
Malheureusement, leur site n’est pas à jour " />
Le 04/01/2016 à 14h55
Le 04/01/2016 à 15h34
Le 04/01/2016 à 15h47
Or, la société Zerodium a accordé début novembre dernier la somme d’un million de dollars pour
la découverte d’une faille exploitable dans toutes les moutures
récentes d’iOS. La société avait indiqué à Wired qu’elle ne comptait pas
en fournir les détails à Apple, posant la question de l’exploitation de
cette brèche par des entités inconnues.
D’ailleurs, quid de la licéité de telles pratiques ? En France par exemple, c’est pas obligatoire de déclarer une faille ?
Le 04/01/2016 à 15h48
Le 04/01/2016 à 15h50
Le 04/01/2016 à 15h58
Plus grave, le tor tue (parfois)!
Le 04/01/2016 à 16h21
Le 04/01/2016 à 16h36
Le site de Tor utilise HSTS, il vient de te dire qu’il y a du proxy dans les parages ? " />
Le 04/01/2016 à 17h18
Pourtant le cert’ est valide et vérifié par DigiCert.
" />
Le 05/01/2016 à 08h09
Le 05/01/2016 à 09h11
Le 05/01/2016 à 09h37
La NSA t’en veux " />
" />
Le 05/01/2016 à 09h56