Vidéo: Republican National Convention Coverage Day 4: Yahoo Finance (Novembre 2024)
Les chercheurs en sécurité spécialisés dans les tests d'intrusion passent leurs journées (et leurs nuits) à essayer de casser les systèmes de sécurité. S'ils trouvent une faille de sécurité dans un produit avant les méchants, cela donne le temps au fabricant du produit de mettre un correctif à jour. Qu'y a-t-il pour le chercheur? Peut-être une prime de bogue de 100 000 dollars, si le problème était lié à un produit Microsoft. Les chercheurs de High-Tech Bridge, une société de services de sécurité et de tests d'intrusion, signalent que Yahoo offre également une prime aux bogues. Le premier journaliste d'un bogue de sécurité vérifiable gagne… 12, 50 $, à échanger uniquement dans le magasin de la société Yahoo pour "des t-shirts d'entreprise, des tasses, des stylos et d'autres accessoires." Vraiment, Yahoo?
Rapidement fissuré
La page Web Sécurité sur Yahoo présente les mesures de sécurité déjà prises par la société, ainsi qu'un ensemble de conseils. Les personnes qui pensent que leurs comptes ont été piratés ou compromis peuvent contacter Yahoo depuis cette page pour obtenir de l'aide. Il indique également: "Si vous êtes membre de la communauté de la sécurité et que vous souhaitez signaler une vulnérabilité technique, contactez: [email protected]."
Pour évaluer le système Bug Bounty, les chercheurs de High-Tech Bridge se sont assis et ont commencé à rechercher des failles de sécurité dans les sites Web de Yahoo. Ils en ont trouvé un tout de suite, mais cela avait déjà été rapporté. Au cours de quelques jours supplémentaires, ils ont découvert trois autres vulnérabilités de script intersite, toutes nouvelles. (N'est-ce pas un peu alarmant en soi?) Selon le rapport, "Chacune des vulnérabilités découvertes a permis de compromettre n'importe quel compte de messagerie @ yahoo.com simplement en envoyant un lien spécialement conçu à un utilisateur Yahoo connecté". Une fois que l'utilisateur a cliqué sur ce lien, la partie est terminée.
Les propres chercheurs de Yahoo ont vérifié que ces vulnérabilités existaient réellement (elles ont été corrigées depuis). Ils ont chaleureusement remercié l'équipe de recherche et reçu une récompense de 12, 50 $ par bogue, échangeable au magasin de la société. Les chercheurs n'étaient pas impressionnés. Le rapport indique: "À ce stade, nous avons décidé de suspendre nos recherches."
Des primes plus importantes
Microsoft versera une prime de 100 000 dollars pour certains rapports. Facebook a déboursé plus d'un million de dollars. Apple ne verse pas de primes de bogues, mais récompense la "divulgation responsable" avec la gloire. Pour moi, la politique de la renommée sans argent d’Apple semble préférable à l’octroi d’un changement radical.
"Yahoo devrait probablement réviser ses relations avec les chercheurs en sécurité", a commenté Ilia Kolochenko, PDG de High-Tech Bridge. "Payer plusieurs dollars par vulnérabilité est une mauvaise blague et n'incitera pas les gens à signaler les vulnérabilités en matière de sécurité, en particulier lorsque ces vulnérabilités peuvent facilement être vendues sur le marché noir à un prix beaucoup plus élevé." Il conclut que si Yahoo ne dépense pas plus pour la sécurité de l'entreprise, "aucun de ses clients ne peut se sentir en sécurité".
D’autres entreprises ont exigé une incitation pour réaliser que les primes de bugs rapportent gros. Il y a quelques années, Facebook ne proposait que 500 dollars. Plus récemment, un chercheur, à qui une prime a été refusée par Facebook, a démontré sa découverte en postant sur le mur de Mark Zuckerberg. Brian Martin, président d'Open Security Foundation, a déclaré que "Même Microsoft, qui était le plus connu des programmes de primes à la bogue, a réalisé la valeur et a dépassé les autres, offrant jusqu'à 100 000 dollars". Il a ajouté: "Certaines de ces entreprises paient plus d'argent à leurs concierges pour nettoyer leurs bureaux qu'à leurs chercheurs en sécurité qui découvrent des vulnérabilités qui peuvent mettre des milliers de clients en danger."
Je suis d'accord. Si les fournisseurs ne paient pas les découvertes des chercheurs en sécurité, il y en a certainement d'autres qui le feront. Nous ne voulons pas que ces chercheurs intelligents se tournent vers le côté obscur pour nourrir leurs enfants.
