Les programmes de primes aux bogues mis en place par les grandes entreprises pour récompenser et reconnaître les chercheurs en sécurité pour avoir signalé correctement les nouveaux bogues et les vulnérabilités de sécurité sont un excellent concept, mais dans la pratique, ils ne sont pas toujours bien gérés. Le chercheur en sécurité Adam Zabrocki a récemment partagé les problèmes qu’il a rencontrés dans la gestion des primes de bogues chez Google pour Chrome OS et à son tour pour Intel, car il s’agissait d’une vulnérabilité du pilote graphique du noyau Linux i915.
Adam Zabrocki est le chercheur en sécurité qui a finalement découvert cette vulnérabilité du pilote graphique du noyau Intel Linux”i915″qui a été rendue publique plus tôt ce mois-ci. Un accès potentiel à la mémoire hors limites pourrait entraîner une élévation des privilèges des utilisateurs locaux. Il a découvert le problème l’année dernière, mais l’a ensuite soumis à Google dans le cadre de son programme de primes de bogues Chrome OS, car les graphiques Intel sont couramment utilisés avec les Chromebooks. Il a finalement obtenu le contournement de Google et d’Intel alors qu’en train de travailler sur le correctif du pilote du noyau i915, il n’a même pas été attribué à l’origine comme signalant le bogue.
Zabrocki a écrit un long article de blog sur les défis liés à la gestion des primes de bogue à partir de son expérience de travail avec Google et Intel. C’est une longue lecture mais assez intrigante et décrit un domaine de la gestion des primes de bogue dont je n’étais pas au courant.
Parmi les leçons apprises qui ont été partagées par Zabrocki :
“Mon expérience avec les primes de bogues a été bien pire que ce à quoi je m’attendais. Surtout l’attitude de Google de rester silencieux pour toujours jusqu’à ce que les choses tournent horriblement/évidemment mal. Ensuite, ils ont essayé de mettre la responsabilité de tout sur Intel et me convaincre que ce n’était pas leur problème même si le bug leur avait été signalé, et qu’ils géraient très bien la communication (!). En tant que chercheur, que pouvez-vous faire ? Rien.
Intel a mal foiré, mais ils ont fait de leur mieux pour réparer ce qu’ils ont foiré (et ce qu’il était encore possible de réparer à ce moment-là). Contrairement à l’attitude de Google, Intel n’a blâmé personne, et ils n’ont pas essayé de me convaincre qu’ils faisaient de leur mieux et qu’ils n’étaient pas dédaigneux.
Il convient de mentionner qu’Intel s’est officiellement excusé pour la manière dont cette affaire a été traitée :”(…) Nous aimerions nous excuser pour la manière dont cette affaire a été manipulé. Nous comprenons que les allers-retours avec nous ont été frustrants et un long processus. (…)”. Cependant, rien de tel ne s’est produit de la part de Google.
Si ce bogue était vraiment précieux du point de vue de l’exploitabilité, il semble que la meilleure option soit toujours de dépoussiérer les anciens contacts du courtier (si nous laissons de côté les questions morales). Ils n’ont jamais autant échoué (du moins c’est mon expérience), même s’ils ne sont pas idéaux non plus.
Au fait. Pour être juste, il existe également des exemples positifs de programmes de primes de bogues”
En savoir plus sur l’expérience d’Adam en matière de primes de bogues sur son blog.