Fiat Chrysler va payer jusqu'à 1 500 $ pour trouver des failles de sécurité dans ses voitures

Fiat Chrysler offre jusqu’à 1 500 $ aux hackers capables d’exploiter son logiciel

Fiat Chrysler Automobiles (FCA) rejoint une liste d’entreprises qui offriront de l’argent aux hackers pour trouver des vulnérabilités et des bogues de sécurité dans le logiciel de ses véhicules. La récompense dans le programme de primes pour bogues serait comprise entre 150 $ et 1 500 $, selon la faille de sécurité que les hackers éthiques et les chercheurs découvrent dans l’un des Jeep, camions Ram ou autres modèles du constructeur automobile.

« Nous nous sommes engagés à reconnaître formellement et à indemniser la découverte de vulnérabilités reproductibles et légitimes, à condition qu’elles soient divulguées de manière responsable », déclare l’entreprise. « Notre objectif avec le projet Bug Bounty est de favoriser une relation collaborative avec les chercheurs pour participer à la divulgation responsable des vulnérabilités dans les véhicules et services connectés de FCA. »

FCA proposera la prime sur la plateforme Bugcrowd. La plateforme gérera les paiements. Bugcrowd déclare avoir environ 30 000 chercheurs en sécurité comme membres.

« Il y a beaucoup de gens qui aiment bricoler leurs véhicules ou s’occuper de systèmes informatiques », a déclaré Titus Melnyk, responsable senior de la sécurité chez Fiat Chrysler. « Nous voulons encourager les chercheurs en sécurité indépendants à nous contacter et à partager ce qu’ils ont trouvé. »

Le constructeur automobile demande aux chercheurs de fournir des détails complets sur toute vulnérabilité trouvée, y compris un code de preuve de concept ou des détails. Uconnect iOS, Uconnect Android, ecoDrive sur Android et ecoDrive sur iPhone et iPad sont tous des cibles. De plus, le constructeur automobile s’intéresse aux problèmes de sécurité trouvés dans les domaines web driveconnect.eu et ecodrive.driveconnect.eu.

Les chercheurs seront récompensés par FCA pour des problèmes tels que des failles d’exécution de code à distance (RCE) et des bogues de script intersites sur des pages authentifiées, mais aucune récompense ne sera accordée pour des problèmes de sécurité tels que le clickjacking, les messages d’erreur, les vulnérabilités liées à l’infrastructure Adobe Air, les fichiers et répertoires publics ou les problèmes de force de certificat.

Au total, quatre bogues ont été résolus et récompensés jusqu’à présent, mais les détails de chaque problème de sécurité restent privés.

FCA déclare être le premier constructeur automobile avec une gamme complète de voitures et de camions à offrir une telle prime, même si le constructeur de voitures électriques Tesla Motors Inc. a fait une offre similaire.

Le constructeur automobile indique qu’il pourrait rendre les résultats publics pour en faire bénéficier d’autres, en fonction de la nature de la vulnérabilité potentielle identifiée et de l’étendue des utilisateurs concernés, le cas échéant.

L’objectif de FCA est simple : trouver des vulnérabilités dans ses véhicules avant qu’elles ne puissent entraîner un rappel coûteux et ternir l’image de la marque. L’année dernière, l’entreprise a été contrainte de rappeler 1,4 million de véhicules et de mettre à jour son logiciel après que deux chercheurs en sécurité ont piraté le système de divertissement d’un Jeep Cherokee et ont pris le contrôle du véhicule à distance.

La démonstration très médiatisée n’a pas seulement été un incident embarrassant pour Fiat Chrysler, mais elle a également poussé l’industrie automobile à s’assurer que ses systèmes sont sécurisés.

« La sécurité et la sûreté de nos consommateurs et de leurs véhicules sont notre priorité absolue », a déclaré Sandra Hosler, responsable des systèmes de cybersécurité, FCA US LLC. « S’appuyant sur une culture de la sécurité, FCA US a développé une équipe interfonctionnelle composée d’ingénieurs, de spécialistes de la sécurité, des affaires réglementaires et des véhicules connectés, qui sont dédiés à la collaboration et à l’engagement avec un large éventail de professionnels de l’industrie pour intégrer la sécurité dans nos véhicules et produits par conception. »

FCA n’est pas la seule entreprise à avoir engagé des hackers pour rendre ses voitures plus sûres. L’année dernière, Uber a engagé le duo qui a piraté à distance le Jeep Cherokee.

Le programme de primes pour bogues FCA US (https://bugcrowd.com/fca) fait appel à la foule pour tester les logiciels afin de relever les défis de cybersécurité. Le programme Bugcrowd aidera à trouver des vulnérabilités potentielles de sécurité des produits ; à mettre en œuvre des correctifs ; à améliorer la sécurité et la sûreté et à renforcer l’esprit de transparence et de coopération au sein de la communauté de la cybersécurité.