Samsung vient de lancer un programme de chasse aux bugs. Le constructeur est la dernière grande entreprise en date à récompenser financièrement les découvertes de failles. Un signe évident des temps, la sécurité informatique étant devenue un enjeu crucial.
Exploiter une faille de sécurité est un objectif pour de nombreux acteurs. On pense évidemment aux pirates, mais les agences de renseignement, les forces de l’ordre et même l’armée recherchent activement des brèches, si possible de type 0-day (aucun correctif au moment de l’exploitation). Trouver de telles portes est même une activité commerciale pour des entreprises comme Zerodium, capable d’offrir jusqu’à 1,5 million de dollars.
La plupart des grands acteurs du monde informatique – Apple, Google, Microsoft… - proposent tous des programmes de chasse aux bugs. L’idée est simple : récompenser par des sommes plus ou moins importantes les chercheurs qui fournissent des rapports sur des problèmes de sécurité. Samsung, plus gros vendeur mondial de smartphones, les rejoint en voulant frapper fort.
De 200 à 200 000 dollars selon la gravité
Les primes iront donc de 200 à 200 000 dollars, un plafond élevé, même pour une grande entreprise. De manière assez classique, les vulnérabilités signalées seront réparties en quatre catégories : faible, modéré, élevé et critique. Évidemment, seules les failles les plus graves débloqueront les récompenses les plus élevées, comme partout ailleurs. Si le problème soulevé n’a aucun impact concret, il n’y aura aucune somme versée.
Samsung donne quelques détails sur les failles considérées comme les plus dangereuses. Elles doivent par exemple pouvoir être exploitées sans nécessiter initialement de droits élevés. Si elle peut être exploitée à distance ou si elle affecte le bootloader de l’appareil, la récompense risque également de suivre.
Des appareils de 2016 ou 2017
À propos des appareils, il ne suffit pas qu’il soit de marque Samsung pour faire l’objet d’une traque aux bugs. Il ne doit pas être plus vieux que 2016 et doit appartenir aux séries suivantes :
- Galaxy S : S8, S8+, S8 Active, S7, S7 Edge, S7 Active, S6 Edge+, S6, S6 Edge, S6 Active
- Galaxy Note : Note 8, Note FE, Note 5, Note 4, Note Edge
- Galaxy A : A3 (2016), A3 (2017), A5 (2016), A5 (2017), A7 (2017)
- Galaxy J : J1 (2016), J1 Mini, J1 Mini Prime, J1 Ace, J2 (2016), J3 (2016), J3 (2017), J3 Pro, J3 Pop, J5 (2016), J5 (2017), J7 (2016), J7 (2017), J7 Max, J7 Neo, J7 Pop
- Galaxy Tab : Tab S2 L Refresh, Tab S3 9.7
D’autres conditions sont également à prendre en compte. La toute dernière version disponible d’Android doit avoir été installée. Dans le cas où le système ne recevrait plus de nouvelles fonctionnalités, c’est la dernière mise à jour de sécurité mensuelle (ou trimestrielle selon les cas) qui devra être présente. Toutes les applications internes de Samsung doivent en outre être à jour. Les applications tierces peuvent être éligibles, à condition qu’elles soient spécifiques aux appareils Samsung.
L'éternelle question des sommes versées
Soulignons quand même deux questions. D'une part, les sommes proposées seront-elles suffisantes ? Elles peuvent paraître élevées, mais ne pèsent parfois pas lourd face à ce que des structures plus ou moins officielles sont capables de verser. Les programmes de ce type tablent sur l’éthique professionnelle des chercheurs, mais tous les découvreurs de failles ne travaillent pas pour des sociétés de sécurité.
Il existe toujours le risque qu’un développeur passionné ou qu’un pirate trouve une brèche. Ce qu’il fait des détails est alors à sa seule discrétion. S’il a le choix entre 20 000 dollars chez l’éditeur concerné ou 200 000 chez une entreprise de type Zerodium, il se dirigera peut-être vers la plus grosse somme.
Les primes ont donc le mérite d’exister, mais leur efficacité dépend des montants. Dans le cas de Samsung, elles se situent clairement dans le haut du pavé. Seule Microsoft va plus loin avec un maximum de 250 000 dollars. Mais la question se pose davantage pour des petites structures telles que Tor, qui ne peut aligner que 4 000 dollars pour les failles les plus sérieuses dans son réseau.
D'autre part, les appareils pointés par Samsung ne sont qu'une sélection de smartphones et tablettes. Pourtant, la firme coréenne propose une très large sélection d'objets connectés, dont des montres et des téléviseurs. La sécurité de cette catégorie d'objets a été pointée du doigt à de nombreuses reprises, et on s'étonne donc de voir une telle limite au programme. À moins qu’il ne s’agisse que d’une première étape visant à le roder.
Commentaires (19)
#1
D’autre part, les appareils pointés par Samsung ne sont qu’une sélection de smartphones et tablettes. Pourtant, la firme coréenne propose une très large sélection d’objets connectés, dont des montres et des téléviseurs. La sécurité de cette catégorie d’objets a été pointée du doigt à de nombreuses reprises, et on s’étonne donc de voir une telle limite au programme. À moins qu’il ne s’agisse que d’une première étape visant à le roder.
Ou alors les téléphones et les objets connectés partagent une base commune et découvrir des failles dans cette base (chez les téléphones) permettra de MàJ les objets connectés sans pour autant avouer que c’est bourré de failles.
#2
Voilà pourquoi je n’achèterai plus Samsung. Je ne comprends même pas pourquoi le S5 n’est pas dans la liste puisqu’il bénéficie toujours à ma connaissance des mises à jour de sécurité. Ras-le-bol de l’obsolescence programmée de ce constructeur.
#3
#4
N’est-ce pas le but d’Android One, une version allégée ?
#5
D’autres conditions sont également à prendre en compte. La toute dernière version disponible d’Android doit avoir été installée. Dans le cas où le système ne recevrait plus de nouvelles fonctionnalités, c’est la dernière mise à jour de sécurité mensuelle (ou trimestrielle selon les cas) qui devra être présente. Toutes les applications internes de Samsung doivent en outre à jour. Les applications tierces peuvent être éligibles, à condition qu’elles soient spécifiques aux appareils Samsung.Etant donné le fractionnement des mises à jour, ne serait-ce qu’entre les versions nues et opérateurs d’un même appareil, ça promet :)
#6
Le bloc de citation n’est pas des plus pratiques. Donc :
D’autres conditions sont également à prendre en compte. La toute dernière version disponible d’Android doit avoir été installée. Dans le cas où le système ne recevrait plus de nouvelles fonctionnalités, c’est la dernière mise à jour de sécurité mensuelle (ou trimestrielle selon les cas) qui devra être présente. Toutes les applications internes de Samsung doivent en outre à jour. Les applications tierces peuvent être éligibles, à condition qu’elles soient spécifiques aux appareils Samsung.
=> Etant donné le fractionnement des mises à jour, ne serait-ce qu’entre les versions nues et opérateurs d’un même appareil, ça promet :)
#7
#8
S’il a le choix entre 20 000 dollars chez l’éditeur concerné ou 200 000 chez une entreprise de type Zerodium, il se dirigera peut-être vers la plus grosse somme.
C’est surtout qu’actuellement tu à le choix entre contacter une entreprise qui te dira “ ont est pas samsung “, qui te filera 0€ et qui si tu refuse contactera la police pour te retrouver ou alors revendre cette faille. En général tu finis par ne rien faire pour avoir la conscience tranquille.
Le pire la dedans c’est qu’il y à quelques sites public qui récences des failles pour des milliers de sites et c’est vraiment le lulz quand tu te rend compte que 1 an après publication elle sont toujours actives… Et encore le pire c’est même pas ça mais de voir que les failles peuvent être colmater en lisant le premier paragraphe de n’importe quel site d’informatique qui parle de sécurité ( genre un xss dans un champ de recherche ).
#9
Cela n’a rien à voir avec l’obsolescence programmée.
#10
#11
Ne plus avoir de suivi fait que tu ne peux plus utiliser le mobile ? Car c’est ça l’obsolescence, calculer une durée de vie du matériel pas le soft.
#12
Ne plus proposer de mises à jour de sécurité (voir de mises à jour tout court) au bout de 2 ans, tu appelles ça comment?
On parle souvent du laxisme des fabricants de IoT mais là c’est bien pire. Combien y a-t-il de millions de S5 encore en circulation (ma femme utilise encore le sien…) ?
#13
Et donc ta femme ne peut plus utiliser son mobile parce qu’il n’y a plus de mise à jour ? Parce que pour le moment, aucun de vous ne parle d’obsolescence programme…
Ton mobile ne devient pas obsolète, les applis du store doivent supporter les mobiles commençant en version 4.4. Donc même là, ton mobile est toujours utilisable.
Que le suivi logiciel ne soit pas plus étendu, c’est une chose, mais ça n’en fait pas de l’obsolescence programmée.
#14
Si l’on devait définir ce qui rentre dans le cadre de “l’obsolescence programmée” sur les smartphones, pour moi ça serait surtout lorsque les applications finissent par demander une version minimale du système pour la partie software.
Entraînant de ce fait la perte de fonctionnalités de l’engin.
Tout en rajoutant le fait qu’une batterie non amovible condamne directement la durée de vie de l’appareil du côté hardware, mais c’est pas le sujet. (je sais pas si les machins Samsung sont concernés, c’est une idée générale)
Par contre, l’arrêt du suivi des mises à jour du système n’est pas de l’obsolescence, c’est juste l’activation du compteur d’une bombe sécuritaire à retardement.
Mais ça c’est un problème plus général du modèle merdique de fonctionnement des smartphones qui nécessitent un OS par matériel… Une belle régression.
#15
#16
Clairement elle peut continuer à s’en servir mais il y a un risque. Le problème c’est que le smartphone peut alors servir de cheval de Troie pour contaminer ton ordinateur par exemple.
On peut donc continuer à s’en servir mais avec une épée de Damoclès au dessus de la tête.
Plus généralement le smartphone est censé être “sûr”. A partir du moment où le constructeur connait une faille il devrait la corriger.
Ici c’est tout le contraire: c’est la politique de l’autruche.
Même M$ assure des mises à jour de sécurité pendant au minimum 10 ans.
Cela correspond à la durée de vie de la machine, ce qui est raisonnable.
Si on arrête les mises à jour après 2 ans, c’est qu’on considère que la durée de vie du smartphone est de 2 ans.
Ils considèrent donc qu’il ne devrait plus fonctionner après cette durée.
Pourtant, non seulement il est encore utilisé, mais avec un téléphone haut de gamme. les performances sont largement supérieures à celles des bas de gamme. Au bout de 2 ans il reste donc largement compétitif face à des appareils neufs d’une gamme inférieure. Il n’est donc pas techniquement dépassé.
Il est intéressant de voir ce qu’on accepte des vendeurs de smartphones et qu’on n’accepterait pas d’un fabricant de voitures par exemple.
Trouverais-tu normal qu’après quelques années il y ait un risque d’explosion de tes pneus pouvant conduire à un accident? C’est arrivé à Ford+Firestone…
https://en.wikipedia.org/wiki/Firestone_and_Ford_tire_controversy
http://droit-finances.commentcamarche.net/faq/440-garantie-legale-vice-cache-et-…
#17
#18
On parle d’obsolescence programmée, c’est pour hardware. Pour le soft, c’est pas le même débat.
Maintenant qu’un mobile puisse devenir un nid à malware, c’est déjà le cas avec les mises à jours de sécurités et sur tous les OS, donc qu’un suivi soit là est certes bien meilleur mais le danger est déjà réel alors que nos mobiles sont encore suivis et sous garantie.
#19