Microsoft veut vraiment sécuriser l'Internet des objets (IoT). Dans cette perspective, il sollicite l'aide des hackers. La société propose une prime de 100 000 $ à qui réussit à pirater Azure Sphere, son système de sécurité pour les appareils IoT.
Microsoft, Sphere et les hackers
Microsoft a annoncé Sphere pour la première fois lors de la conférence RSA en avril 2018. Il s'agit d'un écosystème IoT englobant à la fois les appareils connectés et le service cloud qui les contrôle. En août de l'année suivante, la firme de Redmond a lancé Azure Security Lab, qui offre des ressources aux pirates informatiques éthiques à des fins de recherches sur la sécurité. Le dernier en date, le Sphere Security Research Challenge, permet aux chasseurs de bugs de communiquer directement à l'équipe technique de Microsoft lorsqu'ils tentent de pénétrer dans Sphere.
Zoom sur la plateforme d'application sécurisée Sphere
Microsoft Sphere se compose de trois parties. La première est Sphere OS, un système d'exploitation linux personnalisé. Il fonctionne depuis le deuxième composant, une unité de microcontrôleur transversale connectée et sécurisée produite par des partenaires Microsoft, notamment MediaTek, NXP et Qualcomm. Elle communique avec la troisième partie, qui est un service de sécurité Sphère exécuté dans le cloud Azure qui gère la sécurité sur une flotte d'appareils connectés. Ce service basé sur le cloud utilise des certificats numériques pour authentifier les appareils connectés et gère également les services de mise à jour des appareils sécurisés.
Les fabricants IoT peuvent intégrer la puce et le système d'exploitation Sphere dans leurs appareils, notamment s'ils produisent un nouvel appareil pour un déploiement de masse. Il est également possible de connecter un matériel IoT existant via un module de passerelle basé sur Sphère que Microsoft a développé.
L'essentiel à savoir sur la prime de 100 000 $
Il y a deux prix de 100 000 $. Le premier s'adresse à tous ceux qui peuvent exécuter un code sur Pluton. Il s'agit du sous-système de sécurité fournissant une racine de confiance au microcontrôleur Sphere. Ce système comporte des mesures de sécurité que Microsoft a apprises lors de la construction de la puce de la XBox. Celui-ci exécute un processus de démarrage sécurisé qui charge d'autres composants logiciels avant de fournir des services d'exécution.
Le deuxième prix de 100 000 $ est remis à toutes personnes pouvant exécuter un code dans Secure World. Il s'agit de l'un des deux modes de fonctionnement pour les appareils Sphere et d'un mode d'accès restreint qui exécute uniquement le code fourni par Microsoft. Le moniteur de sécurité qui s'exécute dans Secure World permet aux courtiers d'accéder à Pluton et protège le matériel sensible comme la mémoire. Les applications utilisateur s'exécutent dans une zone moins restreinte du système d'exploitation Sphere appelée Normal World.
Ce n'est pas une prime de bug gratuite pour tous. Il s'agit d'une initiative de trois mois qui s'étale du 1er juin au 31 août. Le programme est accessible sur demande uniquement. Les parties intéressées doivent postuler avant le 15 mai 2020. Les scénarios d'attaque sont également limités. Vous ne pouvez pas attaquer physiquement l'appareil, par exemple. Plus d'informations à cette adresse.
Microsoft propose aussi des programmes de prime pour la sécurité d'Azure
Le défi Sphère répertorie également plusieurs attaques qui ne remporteront pas le prix de 100 000 $, mais qui déclencheront des paiements dans le cadre du programme de primes de bugs Microsoft pour Azure, avec des paiements de bonus allant jusqu'à 20%. Il s'agit notamment de l'exécution de code sur networkd (un daemon de mise en réseau Linux), de l'authentification du périphérique d'usurpation d'identité ou d'une élévation de privilèges inattendue. Si vous pouvez modifier le logiciel et les options de configuration que vous n'êtes pas censé modifier, si vous pouvez modifier le pare-feu intégré au matériel du microprocesseur et faire en sorte qu'un appareil Sphère communique avec une destination non autorisée, cela rapporte également.
- Partager l'article :
