Samsung lance son Bug Bounty, Zerodium récompense le piratage de Tor

Deux actualités montrent que mobilité et anonymat sont devenus des éléments incontournables de la cybersécurité actuelle.

Jusqu’à 200 000 dollars pour craquer les gammes Galaxy

D’un côté, Samsung annonce le lancement d’un programme de Bug Bounty pour ses terminaux mobiles. Cette initiative s’adresse aux gammes de smartphones Galaxy S, Galaxy Note, Galaxy J et A, ainsi que les tablettes (Galaxy Tab). Au total 38 terminaux sont concernés. Les chercheurs en sécurité inscrits pour ce programme devront dénicher des failles sur des terminaux à jour de correctifs techniques et opérationnels.

Les vulnérabilités sont classées en 4 catégories : critique (exécution de code, crash à distance, bypass du secure boot), élevée (exécution de code à distance sans accès privilégié), modérée et faible. Les récompenses s’échelonnent entre 200 et 200 000 dollars. Pour atteindre ce maximum, le ou les spécialistes devront fournir un PoC (Proof of Concept) de l’exploit, validé par le constructeur coréen.

1 million de dollars pour pirater Tor Browser

Dans un autre registre, la firme Zerodium, vendeur de failles zero-day, est à la recherche d’une vulnérabilité critique dans Tor. Le réseau garantissant l’anonymat est en proie depuis plusieurs années à différentes tentatives pour percer ses défenses, sans que pour l’instant rien de concret n’aboutisse. Au grand désespoir des agences de renseignements américaines et autres.

Zerodium, comme à son habitude, a décidé de sortir le carnet de chèque et promet 1 million de dollars pour une faille zero day dans le navigateur Tor sur la distribution Linux Tail et sur Windows. Les candidats peuvent soumettre des propositions jusqu’au 30 novembre 2017. Dans les spécificités, Zerodium précise que l’exploit doit être valable même avec le Javascript désactivé. En effet, les utilisateurs de Tor désactivent souvent cette fonction pour éviter les piratages.

Récemment, Zerodium s’était intéressé à des failles critiques dans les messageries mobiles instantanées sécurisées comme Telegram, Signal, WhatsApp et même Facebook Messenger. A la clé, une récompense de 500 000 dollars pour les as de la recherche de bugs.

 

Auteur : Jacques Cheminat

Journaliste pendant 15 ans sur les thématiques, télécoms, réseaux, datacenter, stockage, sécurité, virtualisation, etc..., j'ai choisi d'ouvrir ce blog pour écrire sur tous les sujets IT, les tendances et mes humeurs.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s