Vidéo: KOBA LAD RENVERSE UNE FEMME ET PREND LA FUITE ! (vidéo) (Novembre 2024)
Il y a quelques jours, des chercheurs de la société de sécurité suisse High-Tech Bridge ont présenté une expérience simple. Ils ont passé une journée à rechercher les bogues sur les sites Web de Yahoo, ont trouvé trois sites sérieux et les ont soumis à Yahoo, dans le but d'évaluer le programme de primes de bogues de la société. Leur récompense? 12, 50 USD par bogue, échangeable uniquement dans le magasin de la société Yahoo. Peut-être honteux de l'attention portée à cette pitoyablement petite récompense, Yahoo a levé la prime au bug. Selon la gravité du problème signalé, les chercheurs recevront désormais entre 150 et 15 000 dollars pour un rapport. Et oui, c'est en espèces, pas en t-shirts.
Un merci personnel
Dans un article de Ramses Martinez sur le blog, intitulé "Director, Yahoo Paranoids", explique l'historique du programme de primes pour les bogues et sa nouvelle direction. "J'ai commencé à envoyer un t-shirt en guise de remerciement", a déclaré Martinez. "J'ai même acheté les chemises avec mon propre argent." Plus tard, certains participants ayant déjà reçu un t-shirt, "j'ai commencé à acheter un certificat-cadeau afin qu'ils puissent obtenir un autre cadeau de leur choix".
Martinez note que la plupart des chercheurs ont besoin en échange de rapporter un bogue "une lettre qu’ils pourraient montrer à leur patron ou à leur client". Les t-shirts et les chèques-cadeaux n'étaient que des remerciements personnels. Pour ce qui est de la preuve, "j’écris moi-même ces lettres".
Nouvelle politique de reporting
Par article de Martinez, Yahoo avait déjà compris que la politique de mise à niveau des bogues nécessitait une mise à niveau. "L'équipe de sécurité met la dernière main au programme révisé", a-t-il déclaré. "Plutôt que d'attendre plus longtemps, nous avons décidé de prévisualiser notre nouvelle politique de création de rapports de vulnérabilité un peu plus tôt."
Vous pouvez lire tous les détails dans le post de Martinez. Yahoo rationalisera le processus de création de rapports, s'efforcera de valider les rapports dès que possible et s'efforcera encore plus de résoudre les problèmes rapidement. Les personnes signalant des bogues vérifiés seront contactées "dans un délai de quatorze jours après la soumission (mais généralement beaucoup plus rapidement)" et recevront une reconnaissance officielle de Yahoo. "Pour les problèmes les mieux rapportés, nous appellerons directement depuis notre site la contribution d'un individu dans un" temple de la renommée "."
En outre, pas plus de t-shirts ou swag comme récompenses. "Yahoo va maintenant récompenser les individus et les entreprises qui identifient ce que nous classons comme des problèmes nouveaux, uniques et / ou à haut risque, entre 150 et 15 000 $." Quant à la taille de la prime, celle-ci "sera déterminée par un système clair basé sur un ensemble d'éléments définis capturant la gravité du problème". Cette politique entrera en vigueur à la fin d'octobre et sera rétroactive au 1er juillet 2013. "Cela comprend, bien sûr, un chèque pour les chercheurs de High-Tech Bridge qui n'ont pas aimé mon t-shirt", a lancé Martinez..
Une nette amélioration
"Nous ne faisions pas notre recherche d'argent, comme nous l'avons clairement dit à Yahoo tout en signalant les vulnérabilités", a déclaré Ilia Kolochenko, PDG de High-Tech Bridge. "Cependant, nous sommes heureux que Yahoo introduise à présent un nouveau programme Bug Bounty qui facilitera leurs relations avec les chercheurs en sécurité et les aidera à améliorer la sécurité de leur entreprise. C'est définitivement une bonne nouvelle."
Il n'en reste pas moins que d'autres acteurs majeurs paient des primes beaucoup plus élevées pour les insectes. Microsoft a tenu longtemps, mais plus tôt cette année a institué une prime pouvant aller jusqu'à 100 000 dollars. Facebook a versé plus d'un million de dollars en primes de bogues et Google aurait versé plus de deux millions. D'un autre côté, la récompense d'Apple pour ceux qui découvrent des bugs importants est la gloire, rien de plus. Le nouveau plan de Yahoo se situe quelque part au milieu; nous verrons comment cela fonctionnera pour eux.
