Par le biais de la plate-forme spécialisée HackerOne, Intel lance un programme de Bug Bounty. Une première pour Intel qui suit donc la tendance actuelle et offrira plusieurs milliers de dollars pour les vulnérabilités de sécurité rapportées par des chercheurs en sécurité tiers. La récompense sera d'autant plus conséquence que la faille débusquée est difficile à atténuer.
Ce programme est néanmoins sur invitation. Il englobe logiciel, firmware et matériel d'Intel. Sont par contre exclus les produits Intel Security (McAfee), les produits tiers et open source, l'infrastructure Web d'Intel, ainsi que les récentes acquisitions de moins de six mois.
Une vulnérabilité jugée critique au niveau matériel pourra rapporter jusqu'à 30 000 dollars. Le système CVSS 3.0 pour l'évaluation de la criticité d'une vulnérabilité sera notamment utilisé afin de calculer un score de base. Ci-dessous, la grille des récompenses :
" En nous associant de manière constructive avec la communauté de la recherche en sécurité, nous estimons que nous serons mieux en mesure de protéger nos clients ", écrit Intel.
L'idée derrière les programmes de Bug Bounty remonte à 1995 avec Netscape. Elle a été popularisée en 2004 par Mozilla. C'est à partir de 2010 que de grands groupes ont commencé à s'y mettre. C'est également une manière de réduire les coûts en matière d'audits de sécurité.
Toutefois, les très grosses failles continuent de se monnayer à prix d'or sur des marchés plus obscurs. La récente affaire Vault 7 dévoilée par WikiLeaks montre par ailleurs qu'il existe toujours un sérieux problème en matière de divulgation des vulnérabilités de sécurité.
