Western Union ouvre son programme de recherche de vulnérabilités au public,
en partenariat avec Bugcrowd

En début 2014, le partenariat entre Western Union (l’entreprise de transfert d’argent) et Bugcrowd (le spécialiste en tests de sécurité crowdsourcing pour entreprise) a commencé avec un programme de recherches de failles qui ne pouvait être accessible que par plus de 15 000 chercheurs en sécurité de la plateforme de Bugcrowd. Cette dernière a annoncé que le programme de recherches de vulnérabilités de Western Union est désormais ouvert au public, les récompenses allant de 100 dollars à 5 000 dollars.

« Bugcrowd est une jeune entreprise et qui continue d’ajouter plus de fonctionnalités rapidement – ils sont véritablement une plateforme très active. Leurs testeurs ont creusé profondément dans leurs recherches. Non seulement ils prendront une URL pour la tester pendant plusieurs jours, mais en plus ils ont trouvé ce que d’autres systèmes n’ont pas identifié. Aucun système n’est à l’abri d’une vulnérabilité. Aussi, des tests continus à ce niveau de profondeur ne sont qu’une bonne chose » a expliqué David Levin, Directeur de la Sécurité de l’Information chez Western Union.

Dans son espace sur la plateforme Bugcrowd, Western Union a établi une liste de failles de sécurité qui ne sont pas éligibles pour une quelconque récompense. Parmi elles figurent les messages descriptifs d’erreur (exemple les erreurs serveur ou application), les codes/pages HTTP 404 ou les codes/pages qui ne sont pas HTTP 200, ou encore Self-XSS et des problèmes exploitables uniquement sur Self-XSS.

Dans la liste des sites web qui peuvent être sujets à des tests figure le domaine principal (www.westernunion.com) ainsi que des domaines localisés (.fr, .de, .ca, etc.). L’entreprise explique que, puisque les sites web partagent une application web. Aussi, une faille trouvée dans l’un d’eux peut être reproduit dans les autres. Raison pour laquelle il n’y aura qu’une seule prime par vulnérabilité trouvée.

Bugcrowd est une plateforme d’évaluation de vulnérabilités qui connait du succès. Elle a enregistré une augmentation exponentielle de ses revenus d’un facteur de 11 et attire de plus en plus de chercheurs en sécurité ; de 3 000 en 2013 ils sont déjà plus de 15 000 à l’heure actuelle.

Jeudi dernier, l’entreprise a annoncé avoir récolté 6 millions de dollars de fonds d’investisseurs tels que Coastanoa Venture Capital, Rally Ventures, Paladin Capital Group et BlackBird Ventures. Sa liste de clients comprend des entreprises à la renommée internationale comme Pinterest, Barracuda Networks ou même Silent Circle.

Source : espace Bugcrowd de Western Union

Et vous ?

Qu'en pensez-vous?