Google vient de lancer un concours de bug bounty avec une récompense maximale de 250 000 dollars. Ce concours vise à trouver des failles dans l’hyperviseur open source KVM (Kernel-based Virtual Machine). Cela dit, les chercheurs en sécurité peuvent obtenir cette somme pour une attaque réussie de type « guest-to-host ».
Pour stimuler la découverte de failles, Google a créé un programme de récompense. La première place peut rapporter 250 000 dollars. Ce concours est organisé comme une capture de drapeau. Les participants se connectent en tant qu’invités et recherchent des vulnérabilités zero-day dans KVM.
KVM, un projet collaboratif
KVM est un projet open source soutenu par Google. Depuis 2007, il est inclus dans Linux. KVM permet aux processeurs Intel et AMD de faire tourner plusieurs machines virtuelles. Cette émulation matérielle est personnalisable pour différents systèmes d’exploitation. Google utilise KVM pour Android et Google Cloud afin de souligner son importance pour eux.
Annoncé en octobre dernier, le concours kvmCTF a débuté officiellement le 27 juin. Les participants doivent d’abord réserver des créneaux horaires en UTC. Ils se connectent à la VM invitée sur un hôte bare metal. Ensuite, ils tentent une attaque guest-to-host.
L’objectif est de trouver une vulnérabilité zero-day dans le sous-système KVM du noyau hôte. Les failles dans l’émulateur QEMU ou via des techniques host-to-KVM ne sont pas éligibles. Les règles du concours expliquent le processus, du téléchargement des fichiers à la preuve d’exploitation.
Récompenses et catégories
Le blog Google Security a publié les récompenses de ce bug bounty le 27 juin. Les prix varient selon la gravité de la faille exploitée.
Une évasion complète de la machine virtuelle rapporte 250 000 dollars. Une écriture de mémoire arbitraire vaut 100 000. La lecture de mémoire arbitraire et l’écriture de mémoire relative rapportent chacune 50 000. Un déni de service vaut 20 000 tandis qu’une lecture relative en mémoire vaut 10 000.
Les récompenses ne sont pas cumulatives. De ce fait, les hackers éthiques reçoivent seulement la récompense finale, sans étapes intermédiaires. La première soumission réussie est la seule gagnante. À ce jour, les organisateurs n’ont reçu aucune soumission, selon le canal Discord kvmCTF.
En somme, Google montre son engagement à sécuriser ses technologies avec ce concours. En offrant des récompenses substantielles, Google espère attirer des chercheurs en sécurité. Ce programme de bug bounty pourrait renforcer la sécurité de KVM. Cela bénéficiera à une large communauté d’utilisateurs et sécurisera les plateformes utilisant KVM.
- Partager l'article :