Internet
Qu'est-ce qu'un bug bounty? De 100 à 1 million de dollars, les entreprises technologiques paient gros pour des conseils de sécurité
Après que des rumeurs en ligne ont commencé à tourbillonner sur les hacks liés à Houseparty, le réseau social basé sur la vidéo a offert 1 million de dollars à quelqu'un qui pourrait prouver que les rumeurs étaient en réalité "propagées par une campagne de diffamation commerciale payée pour nuire à Houseparty".
Même si cette histoire a dominé les gros titres de la technologie, offrir une énorme prime n'est pas si inhabituel pour une grande entreprise de technologie. Cependant, il est plus courant qu’elles soient proposées aux personnes qui peuvent prouver que les produits de l’entreprise présentent une faille de sécurité importante.
Il y a plusieurs raisons pour cela de le faire – mais si vous êtes curieux, voici tout ce que vous devez savoir sur les pratiques de bug bounty.
Sommaire
Qu'est-ce qu'un bug bounty?
En bref, un bug bounty est un moyen pour les entreprises technologiques de récompenser les personnes qui signalent des défauts dans leurs produits. Habituellement, les primes sont liées à des problèmes de sécurité, et les entreprises mettent souvent en place des portails spéciaux où vous pouvez soumettre des rapports de bogues.
C'est une façon de récompenser un chercheur pour avoir trouvé un problème qui a été ignoré par une équipe interne. Mais si personne ne parvient à pirater votre produit, c'est aussi un moyen sournois pour les entreprises de se vanter de la sécurité de leurs produits.
Il existe diverses restrictions quant à ce qu’ils paieront, selon l’entreprise. Nous avons décrit ci-dessous les principes de base de chaque entreprise, mais de manière générale, le bogue doit se rapporter à un produit actuel, n'a pas été découvert auparavant et (surtout) doit être divulgué directement à l'entreprise.
Connexes: Meilleur VPN 2020
Combien coûte un bug bounty?
Cela varie selon les entreprises et les produits, mais en général, le montant le plus bas que vous trouverez sera d'environ 100 $.
Seule une poignée d'entreprises offrent quelque chose autour du million de dollars, bien que la plupart des grandes entreprises aient un programme en place avec une offre de 100 000 $.
Prime aux bogues Microsoft
La meilleure offre de Microsoft est de 300 000 $ pour les rapports de vulnérabilité sur les services cloud Microsoft Azure. La société déboursera également 100 000 $ si vous trouvez des vulnérabilités dans ses services d'identité et jusqu'à 250 000 $ pour les problèmes de sécurité trouvés dans Microsoft Hyper V.
Connexes: Meilleur logiciel antivirus 2020
Les vulnérabilités trouvées dans d'autres services Microsoft vous rapporteront généralement entre 15 000 $ et 30 000 $. Les problèmes de sécurité détectés sur Xbox peuvent vous rapporter 20 000 $, tandis que les problèmes rencontrés sur la version Chromium de Microsoft Edge peuvent vous rapporter jusqu'à 30 000 $.
Pour voir la liste complète des offres de primes de bogues, rendez-vous ici.
Apple bug bounty
Apple propose l'une des primes de bogues les plus importantes du marché. La société vous donnera 1 million de dollars si vous parvenez à trouver une vulnérabilité qui permet à quelqu'un de pirater un réseau sans aucune interaction de l'utilisateur. Selon les propres mots de l'entreprise, il doit s'agir d'une «exécution de code du noyau sans clic avec persistance et contournement PAC du noyau».
Le plus petit paiement répertorié sur le site actuel d'Apple est de 100000 $, qu'il déboursera si vous parvenez à trouver des vulnérabilités dans iCloud, à contourner un écran de verrouillage ou à trouver un moyen d'accéder à des données sensibles sans autorisation via une application installée.
Prime aux bogues Google
Google offre de nombreuses récompenses à travers sa vaste gamme de produits.
Pour les vulnérabilités trouvées dans les propriétés Web appartenant à Google, les récompenses varient de 100 $ à 5000 $. Les vulnérabilités des paiements pour Chrome sont un peu plus importantes, allant de 500 $ à 30 000 $, tandis que les problèmes de sécurité détectés sur Google Play seront récompensés de 500 $ à 20 000 $.
Mais l'argent réel se trouve dans la prime de bogue pour Android sur les produits Pixel. Ce programme rapporte jusqu'à 1 million de dollars, selon l'exploit découvert. Le meilleur prix est payé pour toute personne capable de pirater la puce Pixel Titan M.
En plus de ce qui précède, deux subventions sont disponibles via Google. Ceux-ci sont destinés aux chercheurs en vulnérabilité déjà établis et varient de 1337 $ à 3133 $. Il existe également des paiements pouvant atteindre 20 000 $ pour les correctifs proposés sur certains projets open source.
Vous pouvez en savoir plus sur les différents programmes ici.
Prime aux bogues Facebook
Facebook n'a pas de limite supérieure sur ce qu'il paiera sur les primes de bogues, mais a plutôt un calcul de vulnérabilité qui prend en compte «l'impact, la facilité d'exploitation et la qualité du rapport».
En bref, l'entreprise doit décider de la valeur de votre vulnérabilité récemment découverte. Le montant minimum récompensé est de 500 $, mais une personne a déjà reçu 50 000 $ pour son travail.
Le programme de bug bounty comprend tous les produits Facebook, vous pouvez donc utiliser le même portail pour soumettre des problèmes liés à Instagram.
Prime aux bogues HackerOne
HackerOne est un mélange entre plateforme et collectif. Il fournit un portail pour les grandes entreprises technologiques et les pirates informatiques, permettant aux premiers de publier les récompenses monétaires qu'ils peuvent offrir et aux seconds de soumettre des rapports de vulnérabilité.
Il a un bon répertoire de primes de bogues actuelles, qui offrent entre 100 $ et 2000 $ pour les vulnérabilités.
Il héberge également quelque chose appelé Internet Bug Bounty, qui paiera si vous parvenez à trouver une faille de sécurité dans un logiciel qui prend en charge la pile Internet. Par exemple, trouver un problème avec le langage de programmation Python populaire pourrait vous faire gagner 500 $ en argent de poche.