General Motors, une 1ère recherche de bug pour la gloire

General Motors a décidé de lancer son programme de recherche de bugs pour ses véhicules connectées. Une initiative louable, mais sans incitation pour les hackers. Ce n’est qu’un début explique le RSSI.

Le constructeur automobile américain, General Motors, a décidé de se tourner vers « la nouvelle économie » pour travailler sur la sécurité des voitures connectées. Il vient en effet de lancer un programme de recherche de bugs. Aussi appelé Bug Bounty, cette initiative a pour objectif de laisser des hackers (chercheurs, passionné ou spécialiste de la sécurité) découvrir des failles dans les voitures connectées. Un sujet sensible qui a été mis sous les feux de la rampe cet été avec la prise de contrôle à distance d’une Jeep Cherokee. Plusieurs études ont montré que les voitures connectées constituent une cible privilégiée par les cybercriminels, parfois avec peu de moyen.

Mais revenons au Bug Bounty de GM. Il a été lancé le 5 janvier dernier sur HackerOne, une plateforme qui gère ce type de programme pour le compte de tiers. La page du site donne donc les éléments et les avertissements pour cette recherche de failles. On note notamment que les hackers devront « fournir un résumé détaillé de la vulnérabilité, y compris les cibles, les mesures, les outils et des artefects utilisés lors de leur découverte (le résumé détaillé nous permettra de reproduire la vulnérabilité) ». Le hacker ne devra pas non plus publié le résultat de ses découvertes tant que GM n’aura pas trouvé un remède à la vulnérabilité.

Pour la gloire et en toute impunité

Des mises en garde traditionnelles. Mais là où le bât blesse, c’est dans les récompenses du travail des hackers. Il est d’usage d’accorder une rétribution financière pour les personnes qui ont découvert des failles de sécurité. Mais GM en a décidé autrement. Dans sa grande mansuétude, le constructeur promet « la gloire éternelle ». Un peu léger pour vivre de ces travaux, n’est-il pas ? Un peu étonnant pour une société valorisée à 47 milliards de dollars. Le constructeur promet surtout de ne pas poursuivre en justice ceux qui soumettront des vulnérabilités.

Un premier pas

Cela peut apparaître bien peu au regard d’autres programmes plus rémunérateurs, comme le montre les offres de Zerodium par exemple ou même celui de United Airlines qui proposait une prime pouvant aller jusqu’à 1 million de miles. Il faut néanmoins relativiser souligne Jeff Massimilla, CSO de GM dans un entretien à nos confrères d’Ars Technica. « Il s’agit d’une première étape pour créer un partenariat avec des spécialistes extérieurs en cybersécurité. » Il avoue que « nous n’avons pas beaucoup d’expérience avec ce type de programme ». Pour lui, il ne faut pas voir ce premier pas comme un Bug Bounty complet, mais juste un test pour connaître l’intérêt des hackers. Le RSSI promet que l’initiative va évoluer et devrait offrir des récompenses et des reconnaissances (publications, articles, etc.).

A lire aussi :

Le projet Tor lance un programme de chasse aux bugs

Microsoft révise son programme de recherches de bug

Crédit Photo : Dejan Dundjerski-Shutterstock