Connectez-vous avec nous

Internet

Qu'est-ce qu'un bug bounty? De 100 à 1 million de dollars, les entreprises technologiques paient gros pour des conseils de sécurité

Après que des rumeurs en ligne ont commencé à tourbillonner sur les hacks liés à Houseparty, le réseau social basé sur la vidéo a offert 1 million de dollars à quelqu'un qui pourrait prouver que les rumeurs étaient en réalité "propagées par une campagne de diffamation commerciale payée pour nuire à Houseparty".

Même si cette histoire a dominé les gros titres de la technologie, offrir une énorme prime n'est pas si inhabituel pour une grande entreprise de technologie. Cependant, il est plus courant qu’elles soient proposées aux personnes qui peuvent prouver que les produits de l’entreprise présentent une faille de sécurité importante.

Il y a plusieurs raisons pour cela de le faire – mais si vous êtes curieux, voici tout ce que vous devez savoir sur les pratiques de bug bounty.

Qu'est-ce qu'un bug bounty?

En bref, un bug bounty est un moyen pour les entreprises technologiques de récompenser les personnes qui signalent des défauts dans leurs produits. Habituellement, les primes sont liées à des problèmes de sécurité, et les entreprises mettent souvent en place des portails spéciaux où vous pouvez soumettre des rapports de bogues.

C'est une façon de récompenser un chercheur pour avoir trouvé un problème qui a été ignoré par une équipe interne. Mais si personne ne parvient à pirater votre produit, c'est aussi un moyen sournois pour les entreprises de se vanter de la sécurité de leurs produits.

Il existe diverses restrictions quant à ce qu’ils paieront, selon l’entreprise. Nous avons décrit ci-dessous les principes de base de chaque entreprise, mais de manière générale, le bogue doit se rapporter à un produit actuel, n'a pas été découvert auparavant et (surtout) doit être divulgué directement à l'entreprise.

Connexes: Meilleur VPN 2020

Combien coûte un bug bounty?

Cela varie selon les entreprises et les produits, mais en général, le montant le plus bas que vous trouverez sera d'environ 100 $.

Seule une poignée d'entreprises offrent quelque chose autour du million de dollars, bien que la plupart des grandes entreprises aient un programme en place avec une offre de 100 000 $.

Prime aux bogues Microsoft

La meilleure offre de Microsoft est de 300 000 $ pour les rapports de vulnérabilité sur les services cloud Microsoft Azure. La société déboursera également 100 000 $ si vous trouvez des vulnérabilités dans ses services d'identité et jusqu'à 250 000 $ pour les problèmes de sécurité trouvés dans Microsoft Hyper V.

Connexes: Meilleur logiciel antivirus 2020

Les vulnérabilités trouvées dans d'autres services Microsoft vous rapporteront généralement entre 15 000 $ et 30 000 $. Les problèmes de sécurité détectés sur Xbox peuvent vous rapporter 20 000 $, tandis que les problèmes rencontrés sur la version Chromium de Microsoft Edge peuvent vous rapporter jusqu'à 30 000 $.

Pour voir la liste complète des offres de primes de bogues, rendez-vous ici.

Apple bug bounty

Apple propose l'une des primes de bogues les plus importantes du marché. La société vous donnera 1 million de dollars si vous parvenez à trouver une vulnérabilité qui permet à quelqu'un de pirater un réseau sans aucune interaction de l'utilisateur. Selon les propres mots de l'entreprise, il doit s'agir d'une «exécution de code du noyau sans clic avec persistance et contournement PAC du noyau».

Le plus petit paiement répertorié sur le site actuel d'Apple est de 100000 $, qu'il déboursera si vous parvenez à trouver des vulnérabilités dans iCloud, à contourner un écran de verrouillage ou à trouver un moyen d'accéder à des données sensibles sans autorisation via une application installée.

Prime aux bogues Google

Google offre de nombreuses récompenses à travers sa vaste gamme de produits.

Pour les vulnérabilités trouvées dans les propriétés Web appartenant à Google, les récompenses varient de 100 $ à 5000 $. Les vulnérabilités des paiements pour Chrome sont un peu plus importantes, allant de 500 $ à 30 000 $, tandis que les problèmes de sécurité détectés sur Google Play seront récompensés de 500 $ à 20 000 $.

Mais l'argent réel se trouve dans la prime de bogue pour Android sur les produits Pixel. Ce programme rapporte jusqu'à 1 million de dollars, selon l'exploit découvert. Le meilleur prix est payé pour toute personne capable de pirater la puce Pixel Titan M.

En plus de ce qui précède, deux subventions sont disponibles via Google. Ceux-ci sont destinés aux chercheurs en vulnérabilité déjà établis et varient de 1337 $ à 3133 $. Il existe également des paiements pouvant atteindre 20 000 $ pour les correctifs proposés sur certains projets open source.

Vous pouvez en savoir plus sur les différents programmes ici.

Prime aux bogues Facebook

Facebook n'a pas de limite supérieure sur ce qu'il paiera sur les primes de bogues, mais a plutôt un calcul de vulnérabilité qui prend en compte «l'impact, la facilité d'exploitation et la qualité du rapport».

En bref, l'entreprise doit décider de la valeur de votre vulnérabilité récemment découverte. Le montant minimum récompensé est de 500 $, mais une personne a déjà reçu 50 000 $ pour son travail.

Le programme de bug bounty comprend tous les produits Facebook, vous pouvez donc utiliser le même portail pour soumettre des problèmes liés à Instagram.

Prime aux bogues HackerOne

HackerOne est un mélange entre plateforme et collectif. Il fournit un portail pour les grandes entreprises technologiques et les pirates informatiques, permettant aux premiers de publier les récompenses monétaires qu'ils peuvent offrir et aux seconds de soumettre des rapports de vulnérabilité.

Il a un bon répertoire de primes de bogues actuelles, qui offrent entre 100 $ et 2000 $ pour les vulnérabilités.

Il héberge également quelque chose appelé Internet Bug Bounty, qui paiera si vous parvenez à trouver une faille de sécurité dans un logiciel qui prend en charge la pile Internet. Par exemple, trouver un problème avec le langage de programmation Python populaire pourrait vous faire gagner 500 $ en argent de poche.

Rédacteur principal

Ruth a commencé sa carrière au journal Metro, travaillant comme rédactrice pour la section longs métrages. Après un bref passage à travailler sur une nouvelle chaîne pour VICE UK, elle a rejoint l'équipe Trusted Reviews en 2019 en tant que…

Ruth Gaukrodger

Contrairement à d'autres sites, nous examinons attentivement tout ce que nous recommandons, en utilisant des tests standard de l'industrie pour évaluer les produits. Nous vous dirons toujours ce que nous trouvons. Nous pouvons recevoir une commission si vous achetez via nos liens de prix.
Dites-nous ce que vous pensez – envoyez un courriel à l'éditeur

Les offres de produits Hi-tech en rapport avec cet article

Autres articles en relation:

Google offre une récompense d'un million de dollars en primes de bogues L’ordinateur du créateur de Wikipédia et le NFT vendus aux enchères pour près d’un million de dollars Un groupe de médias australien veut que les géants de la technologie paient 400 millions de dollars par an Nouveautés technologiques – AirPods Pro et Oculus Quest reviennent dans les magasins Dell propose une solution unique pour les besoins technologiques des petites entreprises Une rare copie du jeu vidéo « Super Mario 64 » vendue aux enchères pour 1,56 million de dollars Les médias sociaux aident à révéler les opinions racistes des gens – alors pourquoi les entreprises technologiques ne font-elles pas davantage pour arrêter le discours de haine? Amazon met en place un fonds de 250 millions de dollars pour les petites et moyennes entreprises en Inde
Sujets connexes :
Continuer la lecture
Cliquez pour commenter

Laissez un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

ARTICLES POPULAIRES