Cryptocat lance une chasse aux bugs, limitée à une récompense unique de 500 dollars
Bounty contre les vampires
Le 21 décembre 2016 à 16h21
4 min
Logiciel
Logiciel
Le logiciel Cryptocat, qui permet des communications chiffrées entre les correspondants, dispose désormais d’un programme de chasse aux bugs. Il est cependant limité et ressemble davantage à une chasse au trésor, puisque seul le premier découvreur sera récompensé.
De nombreux éditeurs disposent désormais d’un programme dit de « bug bounty » : ils récompensent les chercheurs en sécurité et autres experts pour les failles de sécurité qu’ils débusquent. Des récompenses financières plus ou moins substantielles, en fonction des moyens de l’entreprise. Ces programmes ont une importance capitale dans la sécurité des produits.
Une récompense unique de 500 dollars
Cryptocat dispose de son propre « bug bounty » désormais, mais son fonctionnement diffère largement de ce qu’on a pu voir jusqu’à présent. D’une part parce qu’il n’est pas permanent : il a démarré hier et ne se poursuivra que pendant un an environ, jusqu’au 30 décembre 2017.
Ensuite parce que la récompense n’est que de 500 dollars, un chiffre qui a toute son importance. Enfin parce que cette somme ne sera attribuée qu’au premier à découvrir d’une faille, qui aura évidemment accompagné son analyse d’une preuve de son exploitation (PoC) et d’une autorisation explicite pour la publication de ces informations.
La faille doit être particulièrement sérieuse
La faille elle-même doit être de dangerosité haute à critique. Elle doit par exemple permettre une exploitation du compte à distance, l’imitation d’un appareil ou d’un utilisateur, le déchiffrement d’un message ou encore l’exécution d’un code arbitraire. Des failles sérieuses donc et qui auraient le pouvoir de remettre en question la sécurité entière du service, qui en a fait son principal argument.
Tous les participants au programme pourront transmettre les détails de leurs découvertes (s’il y en a) à « nadim » sous Cryptocat, du nom de l’auteur du logiciel, Nadim Kobeissi. Dans l’annonce du programme de chasse aux bugs, il précise d’ailleurs que le vainqueur, en plus d’empocher les 500 dollars, recevra également un « bon livre » choisi par l’équipe sur Amazon, la reconnaissance de son travail sur le site officiel du logiciel ainsi qu’une note personnalisée de remerciement. En cas d’arrivée ex-aequo, c’est la faille jugée la plus grave qui l’emportera.
Bug bounty contre marché gris
Comme indiqué précédemment, ce type de programme est particulièrement important pour la sécurité d’un produit. Il focalise l’attention sur le code du logiciel, la quête de reconnaissance et/ou de gains financiers étant un puissant moteur de motivation. Cependant, il n’est pas certain qu’une somme aussi limitée motive suffisamment le découvreur d’une faille, qui pourrait éventuellement en tirer un prix nettement plus élevé sur le marché gris.
Il s’agit d’une véritable problématique aujourd’hui, tant la recherche de failles revêt un aspect nettement plus officiel et public que précédemment. La NSA a déjà communiqué sur ce sujet, et la Navy n’avait pas hésité à publier une annonce en ce sens. Dans sa lutte pour déverrouiller un iPhone 5c récalcitrant, le FBI avait acheté une faille plus de 1,3 million de dollars. En octobre, la société Zerodium promettait jusqu’à 1,5 million de dollars pour une faille 0-day dans iOS 10. Des sommes telles qu’elles peuvent facilement détourner certains d’une participation vertueuse à un bug bounty aux récompenses souvent beaucoup plus faibles.
Cryptocat lance une chasse aux bugs, limitée à une récompense unique de 500 dollars
-
Une récompense unique de 500 dollars
-
La faille doit être particulièrement sérieuse
-
Bug bounty contre marché gris
Commentaires (21)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 21/12/2016 à 16h25
Qu’ouis-je ? Une horde de barbus arriver, et dire que le code ouvert ça permet de lutter contre les failles critiques ?
" />
Qui sait, ils ont ptre raison en fait
:popcorn:
Le 21/12/2016 à 16h34
En octobre, la société Zerodium promettait jusqu’à 1,5 million de dollars pour
une faille 0-day dans iOS 10. Des sommes telles qu’elles peuvent
facilement détourner certains d’une participation vertueuse à un bug bounty aux récompenses souvent beaucoup plus faibles.
J’hésite encore…. 500$ ou 1.5 millions. Je me tâte.
Le 21/12/2016 à 16h34
On ne lutte pas contre les failles dans le code… on les débusque.
Et, curieusement, c’est plus simple de débusquer une faille dans le code quand tu as accès au code.
Le 21/12/2016 à 16h45
Je vous sent peu inspiré pour le sous titre. J’aurais bien vu un «Chaqun ces moyens …»
Le 21/12/2016 à 16h54
”….qu’au premier découvrir d’une faille,”
Hum hum, un problème de relecture ?
Sinon quelle différence avec Telegram?
Le 21/12/2016 à 17h01
y’a tellement de différences que c’est un peu long à lister. ^^
Le 21/12/2016 à 17h08
Les 2.
" />
Le 21/12/2016 à 17h09
Il y a aussi une grande différence entre un Cryptocat et Apple : l’un est opensource+libre+gratos et ses devs ne doivent pas gagner beaucoup de sous, l’autre est une multinationale générant des milliards.
Je trouve quand même dommage que l’on doive en arriver là pour du logiciel libre. Le pognon pourri tout ce qu’il touche.
Le 21/12/2016 à 17h54
Ça dépend du logiciel.
" /> 
" />
Dans OpenSSL, je sais pas si on peut parler de débusquer quand il s’agit de prendre une ligne au pif pour trouver une faille critique
Le 21/12/2016 à 18h00
Le 21/12/2016 à 19h06
Si vous aimez les”bounty”, l’Allemagne propose 100.000 euros pour débusquer un virus tunisien.
" />
Le 21/12/2016 à 19h40
Le 21/12/2016 à 19h54
Le 21/12/2016 à 20h11
Ce n’est pas une phrase toute faite ;)
Tu es libre d’avoir ton avis, tout comme j’ai le miens.
Le 21/12/2016 à 22h13
Bruh.
Le 21/12/2016 à 22h22
Le 22/12/2016 à 05h42
Le 22/12/2016 à 09h53
Le 22/12/2016 à 11h14
Le 22/12/2016 à 12h01
Le 22/12/2016 à 18h53