Discussion :

[Stéphane le calme]

Adobe lance son programme de recherches de bogues ...
sans récompenses pécuniaires

Après ses déboires en termes de sécurité, notamment vis-à-vis des failles majeures détectées sur Flash et d’autres applications de l’entreprise, Adobe a décidé d’aborder le problème différemment en demandant aux utilisateurs de rechercher des bogues dans ses logiciels. Une pratique qui a sans doute déjà fait ses preuves auprès de nombreuses autres sociétés comme Google, Facebook et d’autres encore qui disposent de leurs propres programmes de chasses aux bogues.

« En guise de reconnaissance du rôle important joué par les chercheurs en sécurité indépendants dans le fait de garder les clients Adobe en sécurité, aujourd’hui Adobe lance un programme de divulgation de vulnérabilités d’applications web sur la plateforme HackerOne. Les chasseurs de bogues qui identifient des vulnérabilités sur une plateforme web dans un service en ligne ou une propriété web Adobe peuvent désormais faire parvenir le problème à Adobe tandis qu’ils boosteront leur score de réputation sur HackerOne » a annoncé Pieter Ockers, le responsable sécurité d’Adobe.

« Adobe continue d’apprécier et de coordonner les divulgations sur les problèmes de sécurité affectant les produits sur ordinateur de bureau et sur les solutions sur les sites entreprises en les notifiant à notre équipe de réponse aux incidents de sécurité produit », a conclu Ockers.

Il faut quand même préciser que, même si le programme n’a été annoncé qu’hier, il est opérationnel depuis un mois déjà. D’ailleurs, vous le remarquerez sur l’historique sur la plateforme qui indique qu’Adobe a colmaté une faille il y a 23 jours présentée par le pseudonyme awillard.

Sur la plateforme, Adobe a donné toutes les indications. Notamment sur la procédure à suivre, les failles qui répondent aux critères de vulnérabilités ainsi que celles qui ne sont pas éligibles.

Pour l’ingénieur Drew Sing de BugCrowd, les programmes de chasse aux bogues marchent mieux quand il y a de l’argent à la clé. Dans son guide de programme de vulnérabilités publié en juillet, il a expliqué que l’argent est la meilleure motivation pour encourager les chercheurs à effectuer des tests intenses des produits et services sur une base régulière. « Un problème de sécurité de haute priorité mal géré peut nuire à la réputation de l’entreprise (…) les équipes de développement et de communication sont toutes des composantes essentielles pour la réussite d’une telle entreprise » a-t-il rajouté.

Alors pourquoi Adobe a-t-il opté pour la reconnaissance sous forme de tableau de la renommée au lieu de verser des compensations en numéraire aux chercheurs comme Google par exemple ? Est-ce la meilleure méthode pour obtenir le meilleur des chercheurs en sécurité ? Seul le temps nous le dira.

Source : HackerOne

Et vous ?

Qu'en pensez-vous ?

[rambc]

J'ai tellement envie d'aider une boîte qui se fait de l'argent sur un produit dont elle voudrait que je trouve des failles. Est-ce un 1er avril ?

[gangsoleil]

[humour noir ou pas]
Pourquoi pas de récompense ? Il y a tellement de bugs que ça coulerait l'entreprise en 3 mois
[/humour]


Plus sérieusement, le fait de rémunérer la recherche de bug est quelque chose de courant dans le monde des entreprises proches de l'open-source, un monde qui est très loin de ce que pratique Adobe. Donc on peut voir ça comme un premier pas dans la bonne direction, ou qu'ils en ont tellement marre de se faire critiquer sur leurs failles de sécurité qu'il fallait bien faire quelque chose.

Mais la sécurité étant toujours vue comme un centre de coûts, il ne faudrait pas non plus dépenser d'argent...

[HEPHA]

Bonsoir,

c'est en fait une pratique très courante mais généralement rémunérée autrement ou est l'interêt pour les testeurs ?
les rémunérations se situent entre 25$ et pouvant aller jusqu'a des 20.000$ suivant les sociétés.
certains vivent de cela.
et puis d'autres sociétés avares style adobe rapportent 0$ et espèrent qu'on leurs servent leurs failles sur un plateau.

pleins de sociétés utilisent ce principe !, voir ce lien : https://hackerone.com/programs

http://www.google.com/about/appsecurity/reward-program/

idem chez facebook, sauf que la tu peux toujours courrir, ils t'entube au final tu as que dalle !

Bien à vous