Comme beaucoup d’éditeurs, United propose à son tour un système de récompenses pour attirer les traqueurs de bogues. Mais si certains comme Facebook, Yahoo ou Google offrent des sommes rondelettes, jusqu’à plusieurs milliers de dollars pour une faille zéro day, United Airlines a décidé de proposer des miles à tous ceux qui remonteront des failles découvertes sur ses sites web de plus en plus ciblés par les hackers. La compagnie aérienne compte donner 1 million de miles pour tout bug admissible concernant l’exécution de code à distance, 250 000 pour des questions telles que le contournement de l'authentification, les attaques en force et 50 000 pour les failles de type cross-site scripting (injection de contenu dans une page web) et erreurs de programmation.
Ce programme de miles-récompenses peut être utilisé avec le système Mileage Plus de la compagnie aérienne pour obtenir des billets gratuits ou bénéficier d’un surclassement. Beaucoup d'entreprises ont lancé des programmes de récompense pour attirer des chercheurs indépendants capables de signaler des défauts de programmation avant que des cyberpirates les exploitent afin d’infiltrer ou de bloquer leur système d’information.
Recherches en vol interdites
United est aujourd’hui la première compagnie aérienne à créer un tel programme, mais la compagnie aérienne précise toutefois qu’elle ne récompensera pas les bugs trouvés sur le WiFi et les systèmes de divertissement des avions. Les systèmes liés à l'avionique sont également exclus. Elle indique que toute tentative de tests sur des systèmes utilisés en vol pourra entraîner un dépôt de plainte auprès des autorités compétentes.
Le lancement de ce programme intervient juste après que la compagnie américaine ait porté plainte contre un chercheur en sécurité qui avait identifié des failles logicielles de sécurité dans un de ses aéronefs. En avril dernier, le chercheur en sécurité Chris Roberts, fondateur et CTO de One World Labs, avait en effet été interpellé à sa sortie de l’avion et interrogé par la police et des agents du FBI après un vol sur un Boeing 737/800 d’United.
Un chercheur en sécurité banni à vie sur United
Le 15 avril, alors qu’il était encore en vol, M.Roberts avait écrit un tweet moqueur indiquant qu’il aurait été capable d’accéder au système EICAS de l'avion, qui remonte plusieurs informations cruciales aux pilotes : « Devons nous jouer avec les messages EICA ? », a-t-il tweeté en vol. La réponse d’United a été immédiate avec un bannissement à vie sur ses vols.
Suite à son tweet facétieux, le chercheur en sécurité Chris Roberts est interdit de vol à vie sur United.
Le programme de la compagnie aérienne arrive un mois après un rapport de l’Office Accountability du gouvernement américain qui indique que les systèmes d'avioniques des avions pourraient être compromis en raison de la hausse des connexions Internet en WiFi et de l'accès au réseau filaire via le système d'entertainment (IFE). Les vulnérabilités logicielles dans les pare-feux qui séparent les systèmes informatiques dans le cockpit des terminaux nomades des passagers pourraient être exploitées et « permettre à un attaquant d'accéder à distance aux systèmes avioniques et les compromettre ».
Commentaire