Nintendo offre jusqu’à 20 000$ US pour connaître les vulnérabilités de la Nintendo Switch

Récompense

Le fabricant de consoles invite les pirates à percer les failles de sécurité de sa plus récente console en échange de rémunération.

Dans un effort visant à empêcher que ses consoles puissent être piratées de quelque façon que ce soit, Nintendo s’est associée avec la plateforme HackerOne en offrant une prime de 100 à 20 000$ US à la personne qui découvrira chez l’une d’elles des vulnérabilités.

Seule condition? Le chasseur de primes ne devra pas révéler sa découverte à autrui. Bien entendu, le montant de la récompense correspondra à la portée de la vulnérabilité ainsi découverte : pour toucher la somme de 20 000$ US, le participant devra par conséquent avoir déterré une faille de sécurité de la plus haute importance.

Le piratage de jeu, la modification de jeu ou de données de sauvegarde, ou la distribution de contenus inappropriés aux enfants sont les exemples de types d’activités sur lesquels Nintendo souhaiterait recevoir de l’information.

Le piratage de jeu, la modification de jeu ou de données de sauvegarde, ou la distribution de contenus inappropriés aux enfants sont les exemples de types d’activités sur lesquels Nintendo souhaiterait recevoir de l’information.

LIRE ÉGALEMENT : La Nintendo Switch vulnérable à une attaque via WebKit

En ce qui à trait à la Nintendo Switch, Nintendo est particulièrement intéressée à connaître des vulnérabilités permettant : l’escalade des privilèges de l’utilisateur, la prise de contrôle du noyau, la prise de contrôle de TrustZone (les extensions de sécurité intégrées au système sur puce ARM), et le détournement de l’utilisateur depuis l’une des applications publiées par Nintendo.

La gamme Nintendo 3DS est également concernée par cette invitation. L’entreprise souhaite obtenir de l’information principalement sur les vulnérabilités permettant : l’escalade des privilèges de l’utilisateur ciblant le système sur puce ARM, la prise de contrôle des noyaux ARM11 et ARM9, le détournement de l’utilisateur depuis le noyau ARM9, le détournement de l’utilisateur depuis le noyau ARM11 qui ne nécessite pas d’exploiter des vulnérabilités secondaires ni des outils externes.

Enfin, Nintendo souhaite également recevoir de l’information sur toute vulnérabilité matérielle ciblant la Nintendo Switch ou la gamme Nintendo 3DS, sur le clonage bon marché de ces produits, et la détection de clé de sécurité pouvant se concrétiser à partir de fuites de données.

Il semble que l’initiative de Nintendo a déjà prouvé son efficacité. Au moment d’écrire ces lignes, trois rapports de trois participants différents ont déjà été corrigés par l’entreprise en moins de 24 heures. Bien que cette offre de Nintendo a été publiée sur HackerOne en décembre dernier, ce n’est que récemment qu’elle a été soulevée dans certains médias.

  • madlogik

    Seulement, il me semble qu’un pirate peut faire bien plus que 20 000 $ avec un jailbreak, un site, quelques pubs et p-e un trojan ici et là ?

    • http://branchez-vous.com/ Laurent LaSalle

      Ça implique que la vulnérabilité puisse être exploitée de cette façon, en plus du travail nécessaire pour quelque chose dont l’issue est inconnue (est-ce que ça va vraiment rapporter). Sans compter que c’est un crime. Donc la chance de toucher 20 000$ US de manière légale n’est quand même pas à rejeter du revers de la main.

      • Henri_MTL

        Un délit plutôt qu’un crime non ? :)

        • http://branchez-vous.com/ Laurent LaSalle

          Blanc bonnet, bonnet blanc? ¯_(ツ)_/¯

      • madlogik

        En effet, ce n’est pas tout de trouver le trou, encore faut-il en tirer profit!