IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Certains pirates éthiques ne révèlent pas leurs découvertes en matière de cybersécurité


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Mars 2017
    Messages
    1 177
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Madagascar

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2017
    Messages : 1 177
    Points : 78 775
    Points
    78 775
    Par défaut Certains pirates éthiques ne révèlent pas leurs découvertes en matière de cybersécurité
    Certains pirates éthiques ne révèlent pas leurs découvertes en matière de cybersécurité
    Car ils ne savent pas à qui s’adresser, d'après HackerOne

    Près d’un quart des pirates éthiques s’abstiendraient de révéler leurs découvertes en matière de cybersécurité tout simplement parce qu’ils ne savent pas à qui s’adresser pour établir le contact avec l'organisation concernée. C’est ce que révèlent les résultats d’une étude menée par la plateforme de cybersécurité HackerOne qui rassemble une communauté de pirates éthiques.

    Il faut noter que l’Inde (23 %) et les États-Unis (20 %) sont les deux pays bénéficiant de la plus forte représentation au sein la communauté HackerOne. Ils sont suivis par la Russie (6 %), le Pakistan (4 %) et le Royaume-Uni (4 %). Plus de 90 % des participants à cette étude ont moins de 35 ans et sont de sexe masculin.

    Nom : 0.jpg
Affichages : 6006
Taille : 68,8 Ko

    « Pirates éthiques » est un terme utilisé pour désigner des chercheurs spécialisés en cybersécurité utilisant les mêmes procédés de piratage que les cybercriminels afin de déceler d’éventuelles failles de sécurité au sein des systèmes informatiques exploités par des gouvernements ou des entreprises. Lorsqu’ils parviennent à mettre en évidence des vulnérabilités sur un système, les pirates éthiques alertent, en général, les organisations concernées en toute discrétion pour que ces vulnérabilités soient corrigées.

    Cette enquête a été menée par HackerOne sous forme de sondage. Elle a officiellement rassemblé 1698 participants. Ses résultats apparaissent dans le rapport Hacker 2018 publié par la plateforme de cybersécurité. Le sondage révèle qu’environ un quart des pirates éthiques n’auraient pas signalé les vulnérabilités qu’ils ont trouvées parce que les structures concernées ne disposaient pas d’un canal approprié pour la transmission de cette information.

    Autrement dit, près d’un chercheur en cybersécurité sur quatre serait dans l’incapacité d’établir un contact avec les organisations concernées par les failles de sécurité qu’il a découvertes. Ceci serait notamment dû au fait que les structures en question ne disposent pas d’une politique de divulgation de vulnérabilité (PDV) ou d’un canal officiel adéquat qui leur permettrait de recevoir les soumissions de vulnérabilités extérieures.

    En l’absence d’une politique de divulgation de vulnérabilité, les pirates informatiques respectueux de l’éthique seraient obligés d’utiliser d’autres moyens pour entrer en contact avec les établissements concernés : réseaux sociaux, courriels, etc. Malheureusement, les messages transmis via ces canaux sont souvent ignorés ou mal compris par les destinataires, indique le rapport.

    En dépit du fait que certaines organisations ne disposent pas d’une politique de divulgation de vulnérabilité, les pirates éthiques interrogés (72 % d’entre eux) ont souligné le fait qu’elles sont néanmoins de plus en plus enclines à recevoir des informations sur les vulnérabilités qu’elles ne l’étaient par le passé.

    Le rapport précise que des organisations comme le Département américain de la Défense ont reçu et résolu près de 3000 vulnérabilités de sécurité au cours des 18 derniers mois sur la base des informations rapportées grâce uniquement à leur PDV. Il met également en lumière le côté lucratif des programmes de bug bounties en soulignant le fait qu’en Inde, par exemple, les meilleurs chercheurs peuvent gagner jusqu’à 16 fois le salaire moyen d’un ingénieur logiciel local. En outre, un chercheur en cybersécurité aurait en moyenne un salaire 2,7 fois supérieur à celui d’un développeur originaire du même pays.

    Source : Factor-Tech, Hacker One

    Et vous ?

    Qu’en pensez-vous ?
    Avez-vous déjà travaillé comme pirates éthiques ? Si oui, quels commentaires pouvez-vous faire des rémunérations proposées dans ce milieu ?

    Voir aussi

    Uber ou l'art de faire travailler les chasseurs de bogues sans leur verser de primes ? Un chercheur en sécurité raconte son expérience
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 764
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 764
    Points : 7 189
    Points
    7 189
    Par défaut
    Le secteur est enfin pris au sérieux et la pénurie de profils engendre de telles rémunérations.

    De plus, la rémunération comparée aux risques, et les coûts qui en découlent, doit atteindre un facteur très faible. Lorsque le bilan des attaques pour 2017 atteint quelques centaines de milliards (source ANSSI ) juste pour la France, verser quelques dizaines de milliers d'euros par correction de vulnérabilités donnent un ordre d'idée du ratio.

    Ainsi, mettre en place une politique de bug bounty, pour une entreprise offrant une surface d'attaque conséquente à sa taille et son importance, devient loin d'être superflu.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  3. #3
    Membre actif
    Homme Profil pro
    recherche
    Inscrit en
    Octobre 2011
    Messages
    144
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : recherche
    Secteur : Distribution

    Informations forums :
    Inscription : Octobre 2011
    Messages : 144
    Points : 228
    Points
    228
    Par défaut
    Si je trouvais un 0day j'irais faire le concours Pwn2Own

    https://www.zerodayinitiative.com/bl...2017-day-three

    Je cite :

    Pwn2Own est un concours attendu, par beaucoup, y compris les éditeurs de navigateurs. Ils peuvent y tester les défenses de leurs produits face à des chercheurs et des équipes de hackers venus relever le défi. Les gagnants repartent avec des récompenses sonnantes et trébuchantes, tandis que les éventuelles failles dévoilées sont communiquées aux entreprises concernées. Tout le monde y trouve son compte, sauf peut-être en termes d’image.

  4. #4
    Membre émérite
    Inscrit en
    Janvier 2006
    Messages
    722
    Détails du profil
    Informations forums :
    Inscription : Janvier 2006
    Messages : 722
    Points : 2 724
    Points
    2 724
    Par défaut
    C'est surtout qu'en France, le hacker qui prévient une entreprise d'une vulnérabilité sur son système se voit attaqué en justice par la dite société, qui obtiendra facilement gain de cause.
    Autant dire qu'un chercheur en sécurité, en France, a tout intérêt à garder ça pour lui.

    Pas qu'en France d'ailleurs, le problème touche toute l'Europe. Exemple avec le parti pirate luxembourgeois, condamné pour avoir averti la Sécu locale d'une faille de sécurité...

Discussions similaires

  1. certains attributs ne gardent pas leurs valeurs
    Par lequebecois79 dans le forum Struts 1
    Réponses: 3
    Dernier message: 30/04/2010, 18h34
  2. Certaines pages ne s'affichent pas sous firefox
    Par Hyoga dans le forum Firefox
    Réponses: 8
    Dernier message: 27/05/2008, 13h51
  3. [BibTeX]certaines references ne s'affichent pas
    Par Erlen dans le forum Bibliographies - Index - Glossaires
    Réponses: 1
    Dernier message: 26/05/2008, 18h22
  4. Réponses: 4
    Dernier message: 07/04/2008, 15h33
  5. Réponses: 3
    Dernier message: 14/12/2006, 19h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo