+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    2 971
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 2 971
    Points : 66 314
    Points
    66 314

    Par défaut Pornhub lance son programme Bug Bounty pour récompenser les chercheurs en sécurité qui découvrent des failles

    Pornhub lance son programme Bug Bounty pour récompenser les chercheurs en sécurité qui découvrent des failles,
    Apple se décidera-t-il à faire de même ?

    Pornhub, l’une des références dans l’industrie en ligne du divertissement pour adultes, a lancé son propre programme de Bug Bounty dans l’optique de récompenser les chercheurs en sécurité qui vont trouver des failles dans les services qu’il propose. Avec le nombre massif d’utilisateurs journaliers qui visitent ce site, cette stratégie est compréhensible dans la mesure où plusieurs campagnes de piratages aux publicités vérolées ont visé des plateformes de partage de vidéos, la dernière en date d’un site de grande distribution étant celle qui a affecté The Pirate Bay.

    L’entreprise veut que les chercheurs signalent des bogues dans les 24 heures suivant leur découverte. Ils doivent également éviter de perturber le trafic de Pornhub ou même de causer une interruption de service. Pornhub a également interdit l’utilisation des outils automatisés de test de sécurité ainsi que toute manœuvre qui manipule, laisse filtrer ou endommage les données des utilisateurs ainsi que leur vie privée d’une quelconque façon.

    Selon les termes proposés par Pornhub, le programme va récompenser les chercheurs en sécurité qui trouvent des failles sur le site Pornhub d’un montant qui peut aller de 50 à 25 000 dollars, à condition que :
    • le chercheur soit le premier à signaler la faille ;
    • le chercheur envoie une description textuelle claire sur la vulnérabilité reportée ainsi que les étapes pour la reproduire ;
    • le chercheur inclut des fichiers comme des captures d’écran ou des codes de preuve de concept ;
    • le chercheur adresse le rapport de vulnérabilité directement et exclusivement à Pornhub.

    Pornhub indique que son équipe de sécurité répondra au rapport ainsi soumis dans les 30 jours et se donne 90 jours au maximum pour colmater les failles qui lui seront soumises.

    Corey Price, Vice-Président de Pornhub, a indiqué que « comme d'autres grands acteurs technologiques l’ont fait récemment, nous voulons mettre à profit certains des chercheurs en sécurité les plus talentueux en tant que mesure proactive et préventive - en plus de nos équipes dédiées au développement et à la sécurité - afin d’assurer non seulement la sécurité de notre site, mais également celle de nos utilisateurs, ce qui est primordial pour nous ».

    Pornhub vient donc rejoindre les grandes enseignes technologiques qui ont déjà des années d’expérience dans le domaine comme Facebook ou Google. Il faut tout de même noter que si les entreprises de la Silicon Valley ont opté pour se plier à ce genre d’exercice, Apple fait figure d’exception puisque l’entreprise ne dispose pas d’un tel programme de rémunération des chercheurs en sécurité. À ce propos, au vu de l’actualité qui l’a opposé au gouvernement américain, le quotidien New York Times a posé une excellente question : « étant donné que le FBI a demandé l'aide de Cellebrite pour l’aider à accéder l’iPhone verrouillé de Syed Farook, est-il possible que l’entreprise soit plutôt allée directement vers Apple si ce dernier disposait d’un programme Bug Bounty déjà fonctionnel ? ».

    « L’entreprise n’a pas encore donné aux hackers plus qu’une étoile en or. Lorsque les hackers trouvent des failles sérieuses dans ses produits, ils peuvent voir leur nom figurer dans une liste publiée par l’entreprise, mais c’est tout. Ce qui est très loin de ce que les hackers peuvent obtenir s’ils vendent les failles découvertes sur les produits Apple à des marchés clandestins où un nombre croissant d’entreprises et de gouvernements sont prêts à les payer grassement », a noté le quotidien.

    Il faut rappeler que le FBI n’a pas communiqué la faille utilisée pour accéder au contenu de l’iPhone verrouillé, prétextant qu’il n’a pas de propriété légale sur l’information nécessaire et les techniques qui ont été utilisées pour passer outre la sécurité de l’iPhone, alors cette vulnérabilité ne saurait passer par l’examen du VEP. Pour rappel, le VEP (Vulnerabilities Equities Process) désigne la politique officielle du gouvernement américain pour déterminer quand divulguer une vulnérabilité de sécurité.

    Source : communiqué de presse Pornhub, New York Times

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Le FBI ne va pas communiquer à Apple la faille dont il s'est servi pour débloquer l'iPhone de l'auteur des attentats de San Bernardino

    Le site The Pirate Bay a été la cible d'une campagne de malvertising, les utilisateurs ont été infectés par le ransomware Cerber
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    juillet 2013
    Messages
    164
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : juillet 2013
    Messages : 164
    Points : 554
    Points
    554

    Par défaut

    - "Mais dis-moi chéri, c'est de toi qu'on parle dans l'article ! Tu m'expliques comment t'as trouvé une faille sur pornhub ?"
    - "Hem hem, c'est une longue histoire"

  3. #3
    Membre habitué
    Homme Profil pro
    Étudiant
    Inscrit en
    avril 2012
    Messages
    30
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : avril 2012
    Messages : 30
    Points : 142
    Points
    142

    Par défaut

    J'ai pas vraiment compris... Quelle genre de faille doit-on leur signaler, en fait ?

  4. #4
    Membre habitué
    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    avril 2010
    Messages
    70
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Allier (Auvergne)

    Informations professionnelles :
    Activité : Responsable de service informatique
    Secteur : Industrie

    Informations forums :
    Inscription : avril 2010
    Messages : 70
    Points : 155
    Points
    155

    Par défaut

    "[...] dans l’optique de récompenser les chercheurs en sécurité qui vont trouver des failles".

    De quoi s'agit il exactement ?

  5. #5
    Membre à l'essai
    Homme Profil pro
    Développeur informatique
    Inscrit en
    août 2014
    Messages
    13
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : août 2014
    Messages : 13
    Points : 16
    Points
    16

    Par défaut

    Sauf qu'ici les trous de sécurité permettent d'éviter d'avoir des enfants.
    Un mal pour un bien.

  6. #6
    Membre du Club
    Inscrit en
    octobre 2010
    Messages
    15
    Détails du profil
    Informations forums :
    Inscription : octobre 2010
    Messages : 15
    Points : 45
    Points
    45

    Par défaut

    et tout ça avec une seule main
    essayer de comprendre l'ampleur du challenge .

  7. #7
    Membre du Club
    Profil pro
    Inscrit en
    novembre 2008
    Messages
    19
    Détails du profil
    Informations personnelles :
    Âge : 48
    Localisation : France, Isère (Rhône Alpes)

    Informations forums :
    Inscription : novembre 2008
    Messages : 19
    Points : 51
    Points
    51

    Par défaut voué à l'échec

    Ca marchera jamais. Après un rapide sondage auprès de mes potes développeurs, aucun d'eux ne visite ce site, ni aucun autre site porno d'ailleurs.

    Ca ne m'étonne pas... Vous connaissez l'histoire du geek et de la grenouille qui parle ?


Discussions similaires

  1. Microsoft lance son programme de récompenses des hackers
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 8
    Dernier message: 18/11/2016, 16h10
  2. Réponses: 3
    Dernier message: 15/03/2015, 22h27
  3. Réponses: 0
    Dernier message: 04/08/2010, 18h49
  4. Réponses: 0
    Dernier message: 12/07/2010, 16h57
  5. Microsoft lance son programme WebsiteSpark pour les développeurs
    Par Katleen Erna dans le forum Actualités
    Réponses: 6
    Dernier message: 28/09/2009, 21h45

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo