Même les meilleurs processeurs peuvent avoir des failles de sécurité. Pour aider à les identifier, Intel a annoncé une évolution de son programme de primes de bogues existant, qui récompense les pirates qui identifient et signalent les vulnérabilités dans les versions matérielles et logicielles d’Intel. « Project Circuit Breaker », comme il a été nommé, fonctionnera comme une série d’événements autonomes et limités dans le temps pour « de nouvelles plates-formes et technologies spécifiques ». Les participants auront la chance de recevoir une formation et du matériel fournis par Intel, et pourront travailler aux côtés des ingénieurs d’Intel dans la découverte de failles matérielles et logicielles.
Katie Noble, directrice d’Intel pour le L’équipe de réponse aux incidents de sécurité des produits (PSIRT) et les efforts de Bug Bounty, ont déclaré que « Le projet Circuit Breaker est possible grâce à notre communauté de recherche de pointe. Ce programme fait partie de nos efforts pour rencontrer les chercheurs en sécurité là où ils se trouvent et créer un engagement plus significatif. Nous investissons et hébergeons des programmes de primes de bogues, car ils ouvrent de nouvelles perspectives sur la façon de défier les menaces de sécurité émergentes – et Project Circuit Breaker est la prochaine étape dans la collaboration avec des chercheurs pour renforcer les pratiques d’assurance de la sécurité de l’industrie, en particulier en ce qui concerne le matériel. Nous avons hâte de voir comment le programme évoluera et d’introduire de nouvelles voix dans le travail significatif que nous faisons.
Les efforts d’Intel pour accroître la sécurité réelle et perçue de leurs produits ont connu un coup de pouce forcé en 2018, à la suite de la crise Spectre/Meltdown – la société a même conçu son propre Fort Knox pour la recherche sur la sécurité héritée et réelle en construisant une installation secrète au Costa Rica .
Compte tenu de la façon dont le programme de primes de bogues d’Intel était responsable de 97 des 113 vulnérabilités signalées en externe en 2021, l’impact de la recherche communautaire sur la sécurité semble être un élément de plus en plus important de la philosophie de l’entreprise. Les chercheurs externes qui ne font pas partie de la culture et du savoir-faire d’Intel sont probablement mieux à même d’aborder les problèmes de sécurité (et leurs exploits) de manière créative. Cela permet également à Intel de puiser dans le cerveau collectif de la communauté de la cybersécurité, qui a consacré le travail et les heures nécessaires pour identifier ces vulnérabilités, mais n’est payé que s’il touche le proverbial pot d’or.
« Pour la première fois, les chercheurs en sécurité peuvent travailler directement avec les équipes produit et sécurité d’Intel via des événements de piratage en direct pouvant inclure des multiplicateurs de primes jusqu’à 4x, » lit le site principal de Circuit Breaker. « Les concours Capture the flag et d’autres formations aideront à préparer les chercheurs à relever des défis, qui peuvent inclure l’accès à des logiciels et/ou du matériel bêta et à d’autres opportunités uniques. »
Le projet Circuit Breaker est déjà en cours, le premier événement programmé, « Camping with Tigers », ayant été lancé en décembre avec une équipe de 20 chercheurs externes en sécurité. Ce sprint particulier de chasse aux bogues se terminera en mai et les participants recevront des paiements en fonction de la gravité des vulnérabilités identifiées sur trois niveaux de récompense. L’annonce d’aujourd’hui signifie que le format a été un succès et qu’il est maintenant intégré aux efforts de sécurité des produits d’Intel.