Les programmes Bug Bounty peuvent-ils sauver la PS5 ?

0

Coup de tonnerre chez Sony : le hacker Andy Nguyen alias « TheFloW » est parvenu à hacker la PlayStation 5. Comme il l’indique sur son compte Twitter, il a en effet trouvé un moyen d’afficher le menu de débogage de la console, alors qu’en temps normal, celui-ci est désactivé ou accessible que des kits de développement seulement. Après identification d’une vulnérabilité dans le kernel de la PS5, Andy Nguyen a précisé ne pas avoir l’intention de publier les détails de son travail. Et pour cause : cet informaticien de Google participe régulièrement au programme « bug bounty » de Sony, une sorte de prime aux bogues qui dans ce contexte, s’avère d’une aide précieuse pour l’entreprise.

La popularité des programmes Bug Bounty ne cesse d’exploser. Les entreprises doivent en effet développer de nouvelles méthodes permettant aux hackers éthiques de déceler des vulnérabilités de manière responsable, et Sony l’a parfaitement compris. Les programmes bug bounty divulguent chaque année une proportion toujours plus importante de vulnérabilités, mais on constate que l’appât du gain n’en pas vraiment à l’origine. Près de la moitié (47 %) des entreprises ont mis en place des programmes bug bounty, mais seulement 19 % des rapports de vulnérabilité sont transmis par ces programmes. 

Cependant, les entreprises ne peuvent pas baser leur stratégie cyber sur le seul programme Bug Bounty :

Bien qu’elles puissent faire partie d’une stratégie de sécurité globale, les programmes Bug Bounty s’avèrent souvent inefficaces et coûteuses. Étant donné que la majorité des experts en sécurité informatique sont principalement motivés par la résolution d’une vulnérabilité plutôt que par l’argent, les entreprises devraient envisager de concentrer leurs ressources limitées sur le développement de logiciels sécurisés qui détectent les vulnérabilités au cours du cycle de vie du développement logiciel.

D’autant qu’à la suite de l’annonce de Andy Nguyen, les membres du collectif Fail0verflow sont eux aussi parvenus à accéder à des éléments critiques de la PlayStation 5 de Sony, laissant penser que le jailbreak – ou l’installation d’applications non-approuvées par la console – était à portée de tir. Or, Fail0verflow n’a certainement pas les mêmes visées vertueuses que l’informaticien de Google cité précédemment.

About Author

Avatar

architecte de solutions informatiques chez Veracode

Leave A Reply