C’est une pratique courante dans le monde high-tech, parfois contestée : les grandes firmes technologique rémunèrent les chercheurs en sécurité informatique ou hackers de tout poil qui débusquent des failles zero days sur leurs services, via ce que l’on appelle des programmes Bug Bounty.
We’re introducing a bug bounty program to thank researchers for responsibly-disclosed issues. Learn more: https://t.co/cXkWDsQuRe.
— Twitter Security (@twittersecurity) 3 septembre 2014
Twitter possède le sien accessible depuis la plateforme HackerOne. Sur cette plateforme dédiée, réunissant pas moins de 60 programmes de ce type (de Yahoo, Mail.ru à OpenSSL, Coinbase, Slack ou encore 4chan), Twitter s’engage à reverser un minimum de 140$ (123 euros) pour chaque faille de sécurité portée à sa connaissance. Un montant qui varie selon la gravité du bug rapporté.
Depuis deux ans, Twitter a ainsi reversé plus de 300 000 dollars à cet effet, 322 420$ (284 000 euros) pour être exacte, pour des montants allant de 140 à 12 040 dollars. La plateforme de microblogging a ainsi reçu 5 171 soumissions de failles émanant de 1 662 chercheurs.
Une somme à relativiser : Google a dépensé pas moins de 2 millions de dollars en 2015 pour récompenser ces « hackers éthiques » et acheter leurs trouvailles logicielles.
Parmi ces grands acteurs du numérique, Apple est la seule entreprise qui refuse de se plier à ce système de rémunération. La firme se contentant d’un remerciement et d’un nom accroché sur un obscur tableau d’honneur. Une politique qui peut en décourager plus d’un, plus enclins à revendre leur découverte aux plus offrants : société spécialisée, hackers, entreprises, gouvernements, etc., comme on a pu le voir lors de son litige l’opposant au FBI concernant l’iPhone de San Bernardino.
Refusant de se plier aux injonctions des autorités et de déverrouiller le téléphone, le FBI a pu compter sur l’aide d’une tierce partie qui s’est chargée de la besogne grâce à une faille découverte sur le terminal. Faille que le FBI refuse de communiquer à Apple pour qu’elle la corrige et pour laquelle il a déboursé plus d’un million de dollars.
Récemment, un jeune homme de 10 ans a reçu une prime de 10 000 dollars de la part d’Instagram pour lui avoir communiqué une faille importante.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.