En mars 2017, Intel a inauguré un programme de Bug Bounty. Sur invitation, des chercheurs en sécurité tiers peuvent y prendre part afin de débusquer et être récompensés pour des vulnérabilités touchant logiciel, firmware et matériel d'Intel.

intel-headquarters Toujours en partenariat avec la plateforme spécialisée HackerOne, Intel a décidé d'étendre ce programme de Bug Bounty. En particulier, il ne sera plus sous le régime des invitations mais ouvert à tous les chercheurs en sécurité.

Le montant des récompenses a été réévalué et pourra atteindre 100 000 $. Par ailleurs, jusqu'au 31 décembre 2018, un nouveau programme concerne les vulnérabilités et attaques par canal auxiliaire avec jusqu'à 250 000 $ de rétribution.

De telles vulnérabilités par canal auxiliaire font écho à des failles dans l'implémentation de fonctionnalités au niveau matériel et exploitables via le logiciel. Pour ainsi dire… les failles Meltdown et Spectre peuvent être considérées comme des vulnérabilités par canal auxiliaire.

On comprend alors mieux le pourquoi de l'extension du programme de Bug Bounty d'Intel. Même si cela peut servir à redorer une image écornée, le problème avec Meltdown et Spectre n'a pas tant été la découverte puisque les chercheurs avaient prévenu Intel en amont. Le souci vient pour les patchs, leur disponibilité et leur qualité.