Samsung Lance un Programme de Récompenses pour la Sécurité
Samsung a récemment annoncé un programme de récompenses de 1 million de dollars pour toute personne capable de compromettre Knox Vault, un sous-système isolé intégré dans ses smartphones. Ce système est conçu pour stocker des informations sensibles telles que des identifiants et exécuter des routines d’authentification.
Défis à Relever pour les Chercheurs en Sécurité
Pour obtenir cette récompense, il est nécessaire de démontrer une méthode de piratage sans interaction utilisateur, connue sous le nom de méthode « zero-click », sur un appareil Galaxy Z Fold6 et Z Flip6 font débat ! »>Galaxy S ou Z. L’objectif est de récupérer des identifiants en tant qu’utilisateur non privilégié. Étant donné que Knox Vault dispose de son propre processeur et de son propre espace de stockage, isolés du processeur principal du téléphone, les défis pour les hackers sont considérables.
Pour ceux qui parviennent à accéder localement, la récompense est limitée à 300 000 dollars dans le cadre du programme de vulnérabilités des scénarios importants de Samsung.
Autres Cibles de Récompenses
Un autre objectif lucratif est TEEGRIS, un environnement d’exécution de confiance présent dans certains appareils utilisant les SOC Exynos de Samsung. Une compromission réussie à distance peut rapporter 400 000 dollars, tandis qu’une attaque locale peut rapporter 200 000 dollars. Cependant, il est important de noter que contourner une application Trustlet ne suffit pas ; il faut s’attaquer directement au système d’exploitation.
Pour ceux qui souhaitent cibler le système d’exploitation Rich Execution Environment (REE) de Samsung, les récompenses sont moins élevées : 150 000 dollars pour une attaque locale et 300 000 dollars pour une attaque à distance, avec des conditions supplémentaires. Le montant de la récompense dépendra du niveau d’escalade des privilèges atteint par les attaquants et de l’efficacité du code exécuté.
Récompenses pour le Vol de Données
Les chercheurs capables de déverrouiller un appareil Samsung et de voler des données utilisateur avant que le téléphone ne soit déverrouillé peuvent gagner jusqu’à 400 000 dollars, en fonction de la quantité d’informations récupérées. De plus, si un attaquant parvient à contourner le moteur anti-malware Auto Blocker de Samsung, une récompense supplémentaire de 100 000 dollars est en jeu, à condition d’établir une présence persistante sur l’appareil.
Le programme de récompenses inclut également d’autres applications. Installer une application depuis un magasin tiers à distance peut rapporter 100 000 dollars, ou 50 000 dollars si cela se fait localement. Pour les applications déjà présentes dans le Galaxy Store de Samsung, les récompenses sont de 60 000 dollars pour une attaque à distance et de 30 000 dollars pour une attaque locale.
Un Bilan Mitigé des Récompenses
Malgré l’attrait des récompenses élevées, l’historique de Samsung montre que ces montants sont proportionnels à la difficulté des défis. En sept ans, l’entreprise a versé moins de 5 millions de dollars, avec la plus grande récompense individuelle de l’année dernière s’élevant à seulement 57 190 dollars. En 2023, Samsung a distribué 827 925 dollars à 113 chercheurs pour leurs efforts de détection de bugs.
Comparaison avec Microsoft
En revanche, Microsoft a investi massivement dans son programme de récompenses pour la sécurité, versant 16,6 millions de dollars à 343 chercheurs de 55 pays au cours des 12 mois se terminant en juillet de cette année. La plus grande récompense de Redmond a atteint 200 000 dollars pour un individu non nommé.
Microsoft a longtemps hésité à adopter des programmes de récompenses, mais a finalement été convaincu de leur efficacité après une campagne de trois ans menée par Katie Moussouris, alors stratège senior en sécurité chez Redmond. Le programme a été lancé lors de la conférence de sécurité Black Hat en 2013, avec un prix maximum de 100 000 dollars et un ordinateur portable, bien que celui-ci fonctionnait sous Windows 8.1.
Une étude ultérieure a révélé que, pour certains chercheurs en sécurité, la reconnaissance publique de leur travail était parfois plus importante que l’argent. Deux ans après le lancement du programme, Moussouris a constaté que la visibilité pour les entreprises des chercheurs était un facteur clé.
Malgré tout, les récompenses financières restent attrayantes et le programme de Microsoft est relativement peu coûteux à gérer, représentant environ deux heures de revenus nets pour l’entreprise selon ses comptes de 2024.
Madeline Eckert, responsable senior des incitations pour les chercheurs chez Microsoft, a déclaré : « Le programme de récompenses de Microsoft est essentiel à notre stratégie proactive d’engagement avec la communauté de recherche externe pour protéger nos clients contre les menaces de sécurité. »
