Les chercheurs peuvent obtenir jusqu'à 10 000 $ pour l’identification de failles de sécurité dans les imprimantes fabriquées par HP avec ce premier programme de primes de bogue destiné spécifiquement aux vulnérabilités des imprimantes, selon une annonce du géant de la technologie rendue publique mardi.
Les montants versés varieront selon la gravité de la faille découverte, et HP pourra également décider de verser un paiement « de bonne foi » pour le signalement d’une vulnérabilité que l'entreprise a déjà identifiée auparavant. Security Week souligne que les chercheurs ont été invités à concentrer leurs efforts sur les bogues au niveau du microprogramme.
Cette initiative de HP nous rappelled que les menaces à la sécurité vont au-delà des ordinateurs, et peuvent inclure tout dispositif connecté à un réseau. En effet, les imprimantes connectées à Internet peuvent constituer une grave responsabilité en matière de sécurité. Les attaquants peuvent non seulement voler des données sensibles ou contraindre les imprimantes à révéler les mots de passe administrateur des utilisateurs, mais ils peuvent également utiliser les appareils comme points de départ pour d'autres compromis des réseaux. Les imprimantes peuvent également être regroupées dans des botnets, comme cela s'est produit avec Mirai.
HP affirme son engagement à assurer le plus haut niveau de sécurité des imprimantes afin de réduire le risque de telles menaces. « Alors que nous naviguons dans un monde de cybermenaces de plus en plus complexe, il est primordial que les leaders de l'industrie utilisent toutes les ressources possibles pour fournir une sécurité fiable et résiliente à partir du micrologiciel », selon Shivaun Albright, Chef technologique de la sécurité de l'impression chez HP. Elle ajoute : « HP s'engage à concevoir les imprimantes les plus sûres au monde. »
Dark Reading écrit que l'accent mis par HP sur la sécurité des imprimantes est également dû au fait qu’en comparaison aux défauts des autres appareils de l’Internet des Objets (IoT) - les vulnérabilités des imprimantes ont généralement été mises en veilleuse. « L'accent est mis sur les appareils connectés comme les caméras Web ou les téléviseurs intelligents, qui sont très fiables pour tout le monde, mais pas nécessairement pour les imprimantes», déclare M. Albright. « Cela dit, les imprimantes sont peut-être l'appareil IoT le plus utilisé par un individu. »
En outres, CNET cite Albright, soulignant que le programme de chasse aux bogues a été lancé discrètement en mai dernier. Trente-quatre chercheurs se sont inscrits à l'époque, et l'un d'entre eux a déjà reçu 10 000 $ pour avoir déniché une grave faille dans les imprimantes HP. Le programme est sous invitation uniquement, afin de simplifier la gestion des vulnérabilités découvertes. HP vise à rendre le programme public dans le futur.
L'initiative est soutenue par la société de crowdsourcing en sécurité Bugcrowd, qui assurera la gestion les déclarations et les vérifications des vulnérabilités, ainsi que des chercheurs invités à se joindre à l'initiative. HP a également cité le récent rapport de la société, qui indique que les vulnérabilités totales de l'industrie de l'impression ont augmenté de 21 % au cours de l'année précédente.
Les chercheurs qui ont été choisis pour participer à l'initiative ont eu accès à distance à 15 imprimantes, qui sont isolées dans les bureaux de HP. « Depuis leur ordinateur à la maison, ils peuvent fouiller et fouiller dans ces machines pour trouver des vulnérabilités cachées », précise CNET.