L'exécution spéculative c'est votre kiff ? Alors partez à la chasse aux vulnérabilités avec Microsoft ! |
• 19 Mars 2018 à 15h11 • 10708 vues
Il faut le reconnaître, l’avènement des infâmes Meltdown et Spectre a chamboulé l'industrie dans son ensemble en raison de leur nature assez inédite et surtout provenant d'un angle trop peu considéré dans le milieu jusqu’à présent. Si pendant des années c'est la sécurité software qui primait sur les écosystèmes, alors que celle du hardware était visiblement délaissée, une prise de conscience semble être en train de s’opérer et le taureau finalement prit par les cornes. Enfin, à petits pas tout de même, il faudra probablement un certain temps avant que du matériel réellement corrigé au niveau du hardware se répande partout, une histoire qui en plus n'a pas fini de coûter cher, à tous niveaux !
Par contre, si l'exécution spéculative - la vilaine porte d'entrée des attaques - c'est votre truc et que vous savez appréhender la chose (pour tous les autres, par ici), c'est l'occasion ou jamais de se faire un peu de thunes. Intel a déjà lancé son programme de recherche de bugs en février, avec des récompenses pouvant aller de 10 000 à 250 000$ selon le type de faille et sa gravité. Microsoft a maintenant aussi rejoint la danse avec son propre programme de chasse, toujours dans l'optique de dégoter des vulnérabilités touchant à l’exécution spéculative via des canaux auxiliaires (par exemple : SpectrePrime et MeltdownPrime), voire trouver de nouvelles catégories d'attaques. Similairement, les récompenses allouées s’étalent entre 25 000 et 250 000$, sachant que le programme se terminera d'ici 2019 (comme celui d'Intel d'ailleurs).
| Quoi qu'on cherche ? | Quoi qu'on y gagne ? |
|---|---|
| Nouvelle(s) catégorie(s) d'attaque(s) spéculative(s) | 250 000$ |
| Contournement des correctifs de mitigation des failles d'exécution spéculative sur Azure | 200 000$ |
| Idem, mais contournement des correctifs sous Windows | 200 000$ |
|
Démonstration d'une vulnérabilité connue liée à l'exécution spéculative (par exemple : CVE-2017-5753) sous Windows 10 ou Microsoft Edge. La vulnérabilité démontrée doit notamment autoriser la divulgation d'informations sensibles dans un environnement sécurisé. |
25 000$ |
Évidemment, ce genre d’initiative est avant tout proposé afin d'encourager les chercheurs en sécurités - normalement déjà habilité à traiter ce type de bestioles - à entrer directement en contact avec les grosses entreprises comme Microsoft et Intel, trouvailles en mains, et ensuite collaborer dans un cadre permettant de résoudre ces vulnérabilités avec les intéressés principaux sans nécessairement causer de scandale en public. En gros, tout le contraire de ce que CTS-Lab a fait la semaine dernière en publiant une liste de failles affectant supposément une grosse majorité des CPU AMD, une entrée inattendue et pour loin tonitruante pour cet inconnu sorti d'un peu nulle part. Les débuts d'un nouveau terrain d'affrontement marketing pour les constructeurs ? L'histoire nous le dira, en attendant revenons à nos moutons, et bonne chasse ! (Source : Microsoft)
Papi aussi est prêt à chasser du bug !
 | Un poil avant ?Unreal Engine 4 : que nous offre la dernière version 4.19 ? | Un peu plus tard ...Bientôt une taxe "digitale" européenne de 3% pour les grosses compagnies du Web ? | |
