Samsung : gagner 1 million de dollars grâce aux bugs, ça vous tente ?

Par Zineb Mouhoubi Publié le 08/08/2024 à 15 h 00 min
Samsung S24 Ultra-Virus informatique
Samsung S24 Ultra-Virus informatique - © Point GPhone

Samsung relance une nouvelle fois son « Mobile Security Bounty Program » et prévoit d'offrir près d’un million de dollars pour quiconque réussira à trouver une faille dans ses appareils mobiles. Êtes-vous prêts à décrocher le million ?

Portant désormais le nom de « Important Scenario Vulnerability Program (ISVP) », cette nouvelle campagne de détection de bugs se concentrera, selon Bleeping Computer, sur des failles d’exécution de code, ainsi que sur le déverrouillage des appareils ou le transfert de données.

Samsung : gagnez gros en détectant les failles

Knox Vault est l’environnement sécurisé et isolé sélectionné par la firme coréenne pour stocker les informations sensibles des utilisateurs, telles que des clés cryptographiques ou des données biométriques. Les équipes qui soumettront un rapport sur l’exécution arbitraire de code, mettant en lumière une quelconque faille, recevront 300 000 $ tandis que celles qui démontreront une exécution de code à distance (RCE) recevront 1 000 000 $.

Avant de discuter des primes relatives aux environnements sécurisés de Samsung, il convient de faire un rappel sur TEEGRIS OS, un système Trusted Execution Environment (TEE) de la firme, qui crée un environnement sécurisé pour exécuter du code sensible et traiter des données critiques, telles que les paiements et l’authentification. Rich OS est, quant à lui, le système d’exploitation principal des appareils Samsung.

Les primes relatives à ces deux systèmes sont donc les suivantes :

  • 200 000 $ pour une exécution de code arbitraire local sur TEEGRIS OS.
  • 400 000 $ pour une faille RCE sur TEEGRIS OS.
  • 150 000 $ pour l’exécution d’un code local sur Rich OS.
  • 300 000 $ pour une faille RCE sur Rich OS.

Les primes fournies par Samsung incluent également 400 000 $ pour une extraction de données utilisateur réussie et 100 000 $ pour l’installation à distance d’une application arbitraire (60 000 $ si elle est installée à partir du Galaxy Store).

Quelques conditions à respecter pour décrocher le million

Afin d’obtenir ces récompenses, les concurrents doivent soumettre des rapports de bugs qui contiennent un « exploit » fonctionnel qui fonctionne sans privilèges et de manière cohérente sur les dernières mises à jour de sécurité de la firme (séries Galaxy S et Z). La récompense maximale implique que l’exploit doit se faire sans aucune intervention de la part de l’utilisateur.

Samsung avait d’ailleurs révélé que la somme attribuée à l’ancienne campagne de chasse au bug s’élevait à 827 925 $ et avait été distribuée pour 113 chercheurs en sécurité. Ce qui s'ajoute aux 4 900 000 $ dépensés en tout dans les détections de failles. La plus haute récompense individuelle était de 57 190 $.

« Le programme a été lancé dans le but de sécuriser nos produits en recevant les vulnérabilités qui n’avaient pas été détectées en interne avec l’aide de communautés de sécurité externes. Au fur et à mesure que nous recevions de plus en plus de rapports, que nous les analysions et que nous déployions des correctifs, nos produits sont devenus plus sûrs et plus sécurisés », a écrit Jasper Park, responsable de l’équipe de réponse aux incidents de sécurité.

Ce nouveau programme a donc pour but de mettre en lumière des problèmes affectant les appareils de la firme qui n’auraient pas été découverts autrement. Qui sera le prochain prodige à réussir à cracker Samsung ?