Le constructeur automobile américain, General Motors, a décidé de se tourner vers « la nouvelle économie » pour travailler sur la sécurité des voitures connectées. Il vient en effet de lancer un programme de recherche de bugs. Aussi appelé Bug Bounty, cette initiative a pour objectif de laisser des hackers (chercheurs, passionné ou spécialiste de la sécurité) découvrir des failles dans les voitures connectées. Un sujet sensible qui a été mis sous les feux de la rampe cet été avec la prise de contrôle à distance d’une Jeep Cherokee. Plusieurs études ont montré que les voitures connectées constituent une cible privilégiée par les cybercriminels, parfois avec peu de moyen.
Mais revenons au Bug Bounty de GM. Il a été lancé le 5 janvier dernier sur HackerOne, une plateforme qui gère ce type de programme pour le compte de tiers. La page du site donne donc les éléments et les avertissements pour cette recherche de failles. On note notamment que les hackers devront « fournir un résumé détaillé de la vulnérabilité, y compris les cibles, les mesures, les outils et des artefects utilisés lors de leur découverte (le résumé détaillé nous permettra de reproduire la vulnérabilité) ». Le hacker ne devra pas non plus publié le résultat de ses découvertes tant que GM n’aura pas trouvé un remède à la vulnérabilité.
Des mises en garde traditionnelles. Mais là où le bât blesse, c’est dans les récompenses du travail des hackers. Il est d’usage d’accorder une rétribution financière pour les personnes qui ont découvert des failles de sécurité. Mais GM en a décidé autrement. Dans sa grande mansuétude, le constructeur promet « la gloire éternelle ». Un peu léger pour vivre de ces travaux, n’est-il pas ? Un peu étonnant pour une société valorisée à 47 milliards de dollars. Le constructeur promet surtout de ne pas poursuivre en justice ceux qui soumettront des vulnérabilités.
Cela peut apparaître bien peu au regard d’autres programmes plus rémunérateurs, comme le montre les offres de Zerodium par exemple ou même celui de United Airlines qui proposait une prime pouvant aller jusqu’à 1 million de miles. Il faut néanmoins relativiser souligne Jeff Massimilla, CSO de GM dans un entretien à nos confrères d’Ars Technica. « Il s’agit d’une première étape pour créer un partenariat avec des spécialistes extérieurs en cybersécurité. » Il avoue que « nous n’avons pas beaucoup d’expérience avec ce type de programme ». Pour lui, il ne faut pas voir ce premier pas comme un Bug Bounty complet, mais juste un test pour connaître l’intérêt des hackers. Le RSSI promet que l’initiative va évoluer et devrait offrir des récompenses et des reconnaissances (publications, articles, etc.).
A lire aussi :
Le projet Tor lance un programme de chasse aux bugs
Microsoft révise son programme de recherches de bug
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.