Le projet Tor dispose désormais de son propre programme de chasse aux bugs. Il rémunèrera donc ceux qui découvrent des failles et les signalent de manière confidentielle. Les sommes pourront grimper jusqu’à 4 000 dollars, posant une fois de plus la question du trafic des failles.

Le projet Tor est connu pour son réseau décentralisé visant à anonymiser autant que possible les communications. Des clients sont proposés pour de nombreuses plateformes et les développeurs fournissent également un navigateur, en fait un Firefox ESR (support plus long) modifié et intégrant notamment le client de connexion.

Le réseau Tor en lui-même est neutre : tout le monde peut s’en servir. En fonction de l’actualité, on le voit ainsi mentionné dans des affaires de piratage, de pédopornographie, de trafic d’armes ou autre. Mais son intention première est bien de fournir une solution à ceux qui souhaitent s’exprimer librement dans des pays où ce n’est pas toujours possible. Activistes, défenseurs des libertés civiles, chercheurs ou encore avocats peuvent ainsi s’en servir.

Promesse tenue, Tor ouvre une chasse rémunérée aux bugs

Aussi les failles de sécurité dans le réseau Tor sont une précieuse ressource pour tous ceux qui aurait un intérêt particulier à pénétrer ses défenses. On se souvient par exemple que le FBI avait exploité une ou plusieurs faiblesses dans le cadre d’une enquête sur un réseau d’échanges de contenus pédopornographiques. L’équipe du projet, consciente que de telles brèches peuvent avoir aussi de graves conséquences sur la liberté d’expression, a décidé d’ouvrir un bug bounty, promis en décembre.

Ce type de programme, existant déjà chez nombre de grandes entreprises, propose de rémunérer les chercheurs et autres découvreurs de failles. Comme toujours, le barème dépend de la dangerosité de la vulnérabilité. Ici, on pourra empocher entre 100 et 500 dollars pour une faille de faible danger, de 500 à 2 000 dollars pour un danger moyen, et de 2 000 à 4 000 dollars pour les failles sévères. La fourchette permet de moduler la somme en fonction de l’impact potentiel. Notez que les petites sommes pour les brèches faiblement dangereuses seront accompagnées d’un t-shirt, d’autocollants et d’une mention du nom dans le « hall of fame ».

Puisque le projet Tor en lui-même est géré par une association à but non lucratif vivant essentiellement des dons, il était évident que les sommes ne pouvaient pas être élevés. Des entreprises telles qu’Apple, Google et Microsoft alignent parfois jusqu’à plusieurs centaines de milliers de dollars pour une seule faille critique. Le programme a en tout cas le mérite d’exister et pourrait en motiver certains.

Récompenses et problèmes éthiques

Les programmes de chasse ont cependant leurs limites. Les sommes engagées ont beau parfois s’envoler, elles ne sont rien face à ce que certaines entités sont capables d’aligner. Comme nous l’indiquions ce matin, l’exemple de Zerodium à l’automne dernier était parlant : l’entreprise proposant 1,5 million de dollars à celui ou celle qui lui apporterait une faille 0-day exploitable dans iOS 10. Si une société peut fournir une telle somme pour une seule faille, c’est qu’elle est certaine de la rentabiliser avec ses clients.

Et c’est bien là tout le problème, essentiellement éthique. Tout développeur ou chercheur qui découvrira une faille pourrait être amené à choisir entre le programme officiel ou une somme beaucoup plus rondelette. La question se posera d’autant plus volontiers pour les vulnérabilités les plus sérieuses, celles pour lesquelles certains seront prêts à payer des centaines de milliers de dollars. Rappelons à titre d’exemple que le FBI a payé plus de 1,3 million de dollars pour la faille qui lui a permis de percer les défenses d’un iPhone 5c, dans le cadre de l’affaire de San Bernardino.