intel étend son programme de primes aux bogues à la suite du spectre et des défauts d'effondrement - Intel

Intel étend son programme de primes aux bogues dans le sillage de Spectre et les défauts de fusion



(Editor's Note: This move by Intel aims to expand their bug-bounty program to specifically include side-channel attacks, such as those that can be leverage on the Spectre and Meltdown exploits. The company is also increasing the rewards it will give the researchers who find new flaws, a move that aims to employ the masses' knowledge and ingenuity to try and reach the hard-earned bonus at the end of the vulnerability - all while saving Intel much more money than it's paying to bug hunters.)

Chez Intel, nous pensons que travailler avec des chercheurs en sécurité est un élément crucial pour identifier et atténuer les problèmes de sécurité potentiels dans nos produits. Semblable à d'autres entreprises, l'une des façons dont nous avons intégré cette partie de notre modèle d'exploitation consiste à utiliser un programme de primes de bogues. Le programme Intel Bug Bounty a été lancé en mars 2017 pour inciter les chercheurs en sécurité à collaborer avec nous pour trouver et signaler les vulnérabilités potentielles. Ceci, à son tour, nous aide à renforcer la sécurité de nos produits, tout en permettant un processus de divulgation responsable et coordonné.

La divulgation coordonnée est largement considérée comme le meilleur moyen de protéger de manière responsable les clients contre les failles de sécurité. Il minimise le risque que les informations exploitables soient rendues publiques avant que les atténuations ne soient disponibles. En étroite collaboration avec nos partenaires de l'industrie et nos clients, nous encourageons une divulgation responsable et coordonnée afin d'améliorer la probabilité que les utilisateurs disposent de solutions lors de la première publication des problèmes de sécurité. Notre programme Bug Bounty soutient cet objectif en créant un processus par lequel la communauté de recherche en sécurité peut nous informer, directement et en temps opportun, des exploits potentiels que ses membres découvrent.

À l'appui de notre récent engagement en faveur de la sécurité, nous avons apporté plusieurs mises à jour à notre programme. Nous pensons que ces changements nous permettront d'engager plus largement la communauté de la recherche sur la sécurité et de fournir de meilleures incitations pour une réponse et une divulgation coordonnées qui aident à protéger nos clients et leurs données.

Les mises à jour de notre programme incluent:
  • Passer d'un programme sur invitation à un programme ouvert à tous les chercheurs en sécurité, ce qui élargit considérablement le bassin de chercheurs éligibles.
  • Offrir un nouveau programme axé spécifiquement sur les vulnérabilités des canaux secondaires jusqu'au 31 décembre 2018. Le prix accordé pour les divulgations dans le cadre de ce programme peut atteindre 250 000 $.
  • Récolter des primes généralisées dans tous les domaines, avec des récompenses allant jusqu'à 100 000 $ pour d'autres domaines.

Source: Intel Newsroom