Nintendo a choisit de se prémunir contre le piratage d’une manière pédagogique et gratifiante, à l’instar d’autres marques comme Adobe, Uber, Dropbox, YouPorn, Shopify ou Twitter.
Si un utilisateur trouve une faille de sécurité et qu’il la communique à Big N via le site HackerOne, la firme nipponne lui reverse une somme d’argent. Le deal est simple : vous trouvez une faille sur notre Switch et vous nous permettez de la patcher, on vous gratifie pour l’information.
Cette manière a ses limites ; malgré ces efforts et PegaSwitch bloqué depuis la MAJ 2.1.0 de la Switch, le nouvel opus de Zelda est déjà émulé sur PC en 4K via CEMU.
3 hackers récompensés
Le programme Nintendo a été lancé chez HackerOne en décembre il y a 4 mois, bien avant la sortie de la Switch. La marque nipponne voulait à l’origine se prémunir contre les vulnérabilités sur la 3DS, délaissant la Wii U.
Le 3 mars dernier, jour du lancement de la Switch (ex NX), Nintendo a étendu son programme de recherches de bug à la Switch, et notamment les vulnérabilités système et failles des applications de Nintendo : privilèges utilisateur, contrôle du kernel (noyau) ou encore prise de contrôle par l’utilisateur via une apps.
Hier matin aux alentours de 10 heures, trois hackers ont été récompensés : loituma, zacharias et engerdamer549.
Et depuis quelques heures maintenant, les failles sont indiquées comme patchées.
On sait cependant peu de choses sur les failles trouvées, que ce soit en terme de plateforme (nouveau firmware 11.4.0-37 de la 3DS probable) ou de rémunération financière (au moins 100$, minimum indiqué par Big N).
Pédagogie et piratage déontologique
En 2011, deux hackers allemands, Michiel Prins et Jobert Abma, décident de tester les failles de sécurité sur 100 sites high-tech parmi les plus connus. Le bilan est lourd : de nombreuses vulnérabilités sont identifiées sur des plateformes comme Facebook, Google, Apple, Microsoft et Twitter. Alors que beaucoup de marques ignorent les résultats de leur recherche, Sheryl Sandberg, directrice des opérations chez Facebook (COO), transmet les alertes au responsable de la sécurité produit, Alex Rice. Ce dernier fonde alors en 2012 avec Merijn Terheggen et les deux hackers Jobert Abma et Michiel Prins la société HackerOne, dédiée à la cybersécurité, dont le siège est à San Francisco.
L’année suivante, ils mettent en place des programmes dédiés à la découverte de bugs, financés par deux géants de la Silico Valley, Microsoft et Facebook et peaufineront leur méthodologie les années suivantes.
Le système mis en place par HackerOne entend lier les pirates et les sociétés. Plutôt que de permettre aux hackers d’utiliser les failles de sécurité pour s’introduire dans des systèmes, la société les gratifie et les récompense par le biais des programmes mis en place, permettant des tests de vulnérabilité réguliers et une meilleure sécurité des données utilisateur.
En 2017, HackerOne peut se vanter de mobiliser 100 000 hackers et d’avoir permis de patcher 42k bugs par l’intermédiaire de 172 programmes publics avec presque 5 mille hackers récompensés financièrement (14 millions de dollars) et via un programme de réputation.
Bref, même si cela semble être ridicule face à la force des hackers et le challenge de hacker la Switch, Nintendo tente sa chance. On verra si l’avenir lui donne raison ou pas.
