Connexion
Abonnez-vous

Tor : jusqu’à 4 000 dollars de récompense pour les failles de sécurité

Le juste prix

Tor : jusqu'à 4 000 dollars de récompense pour les failles de sécurité

Le 24 juillet 2017 à 13h57

Le projet Tor dispose désormais de son propre programme de chasse aux bugs. Il rémunèrera donc ceux qui découvrent des failles et les signalent de manière confidentielle. Les sommes pourront grimper jusqu’à 4 000 dollars, posant une fois de plus la question du trafic des failles.

Le projet Tor est connu pour son réseau décentralisé visant à anonymiser autant que possible les communications. Des clients sont proposés pour de nombreuses plateformes et les développeurs fournissent également un navigateur, en fait un Firefox ESR (support plus long) modifié et intégrant notamment le client de connexion.

Le réseau Tor en lui-même est neutre : tout le monde peut s’en servir. En fonction de l’actualité, on le voit ainsi mentionné dans des affaires de piratage, de pédopornographie, de trafic d’armes ou autre. Mais son intention première est bien de fournir une solution à ceux qui souhaitent s’exprimer librement dans des pays où ce n’est pas toujours possible. Activistes, défenseurs des libertés civiles, chercheurs ou encore avocats peuvent ainsi s’en servir.

Promesse tenue, Tor ouvre une chasse rémunérée aux bugs

Aussi les failles de sécurité dans le réseau Tor sont une précieuse ressource pour tous ceux qui aurait un intérêt particulier à pénétrer ses défenses. On se souvient par exemple que le FBI avait exploité une ou plusieurs faiblesses dans le cadre d’une enquête sur un réseau d’échanges de contenus pédopornographiques. L’équipe du projet, consciente que de telles brèches peuvent avoir aussi de graves conséquences sur la liberté d’expression, a décidé d’ouvrir un bug bounty, promis en décembre.

Ce type de programme, existant déjà chez nombre de grandes entreprises, propose de rémunérer les chercheurs et autres découvreurs de failles. Comme toujours, le barème dépend de la dangerosité de la vulnérabilité. Ici, on pourra empocher entre 100 et 500 dollars pour une faille de faible danger, de 500 à 2 000 dollars pour un danger moyen, et de 2 000 à 4 000 dollars pour les failles sévères. La fourchette permet de moduler la somme en fonction de l’impact potentiel. Notez que les petites sommes pour les brèches faiblement dangereuses seront accompagnées d’un t-shirt, d’autocollants et d’une mention du nom dans le « hall of fame ».

Puisque le projet Tor en lui-même est géré par une association à but non lucratif vivant essentiellement des dons, il était évident que les sommes ne pouvaient pas être élevés. Des entreprises telles qu’Apple, Google et Microsoft alignent parfois jusqu’à plusieurs centaines de milliers de dollars pour une seule faille critique. Le programme a en tout cas le mérite d’exister et pourrait en motiver certains.

Récompenses et problèmes éthiques

Les programmes de chasse ont cependant leurs limites. Les sommes engagées ont beau parfois s’envoler, elles ne sont rien face à ce que certaines entités sont capables d’aligner. Comme nous l’indiquions ce matin, l’exemple de Zerodium à l’automne dernier était parlant : l’entreprise proposant 1,5 million de dollars à celui ou celle qui lui apporterait une faille 0-day exploitable dans iOS 10. Si une société peut fournir une telle somme pour une seule faille, c’est qu’elle est certaine de la rentabiliser avec ses clients.

Et c’est bien là tout le problème, essentiellement éthique. Tout développeur ou chercheur qui découvrira une faille pourrait être amené à choisir entre le programme officiel ou une somme beaucoup plus rondelette. La question se posera d’autant plus volontiers pour les vulnérabilités les plus sérieuses, celles pour lesquelles certains seront prêts à payer des centaines de milliers de dollars. Rappelons à titre d’exemple que le FBI a payé plus de 1,3 million de dollars pour la faille qui lui a permis de percer les défenses d’un iPhone 5c, dans le cadre de l’affaire de San Bernardino.

Commentaires (18)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







matroska a écrit :



5 euros.







De quoi financer la baisse des APL. Etudiants, au boulot ! <img data-src=" />


votre avatar







ragoutoutou a écrit :



Mieux vaut trouver une faille dans tor que dans le site de vente de titres de transports publics de Budapest… 



&#160https://www.developpez.com/actu/151264/Hongrie-un-jeune-de-18-ans-arrete-apres-a…







Merci pour ton lien.


votre avatar

En même temps les étudiants qui s’insurgent de la baisse de 5 € de l’APL c’est les premiers que tu vois se murger la race dans des pubs à 8 € la pinte toute la soirée… Alors nous emmerder pour 5 €… Et je te parle pas des “à côtés” en soirée…



CQFD.

votre avatar

4000$ us ou asgardiens ?

votre avatar

Asgardiens.

votre avatar

5 euros.

votre avatar

C’est pas cher payé… A mon avis, un mec qui trouve une faille interessante aura bien plus interet a la vendre a des agences de renseignements qu’a la filer au projet.

Apple a le même problème actuellement : les bug bounty sont carrément pas assez chers. Ils devraient monter la récompense à plusieurs millions de $ pour rendre le programme interessant…

votre avatar

Sauf que dans le cas de Apple il y a aussi la valorisation d’avoir amélioré les choses, l’argent ne rend pas tout le monde criminel heureusement ^^.

votre avatar

Zerodium propose jusqu’à 30 000 $ pour Tor. Donc si je trouve une faille je leur file à eux, pas à Tor. Bon, je relance le tuto de CheatEngine.

<img data-src=" />

votre avatar

Y a des gens qui ont une éthique,&nbsp;



Entre revendre une faille a zerodium et être responsable de plusieurs mort / emprisonnement. Ou toucher 4000$, pourvoir dire que c’est nous qui avons trouvé la faille, être invité a des confs pour l’expliquer, y trouver un nouveau taf, et se faire plein de meuf car “je suis un hacker comme dans Mr Robot, et je bosse chez apple”

votre avatar

Mouai, une faille qui casse efficacement l’anonymat sur tor ca vaut largement son million de dollar.&nbsp;

Personnelement je tenterais un service de renseignent pour me payer une baraque. L’éthique OK, mais là y’a un rapport de 1:300 entre ce qu’ils proposent et ce que ça vaut réellement. A partir de 100 000$ peut être que ça marcherait, mais là j’ai un gros doute.

votre avatar

Mieux vaut trouver une faille dans tor que dans le site de vente de titres de transports publics de Budapest…&nbsp;



&nbsphttps://www.developpez.com/actu/151264/Hongrie-un-jeune-de-18-ans-arrete-apres-a…

votre avatar

Faut les moyens pour donner plusieurs millions de dollars, comme dit dans l’article.



Puisque le projet Tor en lui-même est géré par une association à but non lucratif vivant essentiellement des dons, il était évident que les sommes ne pouvaient pas être élevés.

votre avatar

Ou tu peux aussi faire le scenario de vendre ta vuln dans Tor à un état/service de gendarmerie qui l’utilisera pour faire tomber un réseau pédophile et sauver ainsi des enfants d’abus sexuels. Ca existe aussi.

votre avatar







Network_23 a écrit :



Faut les moyens pour donner plusieurs millions de dollars, comme dit dans l’article.







Je sais bien mais n’empeche que ca sert à rien car si ils ont pas les moyens de payer vraiment pour la valeur réelle des failles, ils vont dilapider leurs maigres revenus pour des gens qui auraient très certainement donné la faille même si c’était gratuit.



L’interet d’un bug bounty est d’attirer des gens qui n’auraient pas fait l’effort de reveler une faille autrement. Si tu ne peux atteindre cet objectif faute de moyens suffisants, autant ne rien faire…


votre avatar







neves a écrit :



Ou tu peux aussi faire le scenario de vendre ta vuln dans Tor à un état/service de gendarmerie qui l’utilisera pour faire tomber un réseau pédophile et sauver ainsi des enfants d’abus sexuels. Ca existe aussi.







“et la marmotte elle met le chocolat dans le papier d’alu…”


votre avatar

Ah oui j’avais oublié que les gendarmes c’est tous des gros c*ns qui ne travaillent qu’à vouloir faire chier les honnêtes citoyens en leur collant des pv injustifiés… <img data-src=" />



Le scenario que j’ai décrit existe même chez nous, si. Sinon publiquement il y a eu ça :



https://www.programmez.com/actualites/le-fbi-exploiterait-il-une-faille-de-firef…



Pas besoin de marmottes, donc.

votre avatar

Moui c’est une question de point de vue, pour moi ils ont au moins le mérite d’essayer, j’imagine qu’ils feront un point sur l’utilité de la mesure un peu plus tard.

Tor : jusqu’à 4 000 dollars de récompense pour les failles de sécurité

  • Promesse tenue, Tor ouvre une chasse rémunérée aux bugs

  • Récompenses et problèmes éthiques

Fermer