Programme de Bug Bounty par Apple, Facebook, Google et Oneplus

Un programme de bug bounty est un accord proposé par de nombreux sites web, organisations et développeurs de logiciels particulièrement en vue, par lequel les individus peuvent recevoir une reconnaissance et, surtout, une compensation substantielle pour avoir signalé des bugs, en particulier ceux liés aux exploits et aux vulnérabilités. Parmi les géants qui proposent ce programme figurent Apple, Facebook, Google et Oneplus.

Programme de Bug Bounty

Apple

En 2016, le programme de bug bounty proposé par Apple était restreint à iOS et uniquement sur invitation. Apple a maintenant ouvert son programme de bug bounty à tous les chercheurs en sécurité, offrant des récompenses de 1 million de dollars ou plus. Le programme est ouvert au public et Apple a annoncé qu’iCloud, iPadOS, macOS, tvOS et watchOS seraient sur la liste des bug bounties.

Les récompenses lucratives exigent également une description complète et détaillée du problème de la part du chercheur, ainsi que suffisamment de détails pour permettre à Apple de le reproduire. Les paiements sont déterminés par les bugs découverts à différents niveaux, ceux trouvés sur plusieurs plateformes Apple, en particulier si le problème affecte les derniers appareils et logiciels Apple, entrent tous dans les paiements les plus élevés.

Les bugs trouvés dans la version bêta d’un logiciel accordent au chercheur un bonus de 50 % associé au prix de récompense standard. D’autres paiements potentiels concernent le contournement des écrans de verrouillage, l’extraction de données à partir d’appareils verrouillés et l’accès non autorisé à iCloud. Le paiement le plus élevé parmi ceux-ci est pour les chercheurs capables de prendre le contrôle de l’ensemble de l’appareil sans aucune interaction de la part de l’utilisateur.

Bien que le programme de bug bounty d’Apple soit un peu ancien, il reste l’un des programmes de bug bounty les plus lucratifs même après les nombreux nouveaux que plusieurs géants de la technologie ont ouverts au public dès le départ.

Vérifiez ici

Facebook

Facebook a été très notoire concernant ses politiques de confidentialité, et c’est pourquoi il a beaucoup fait la une des journaux. Ainsi, le programme de bug bounty était très justifié et lancé en 2011. Quiconque peut envoyer un rapport et recevoir une récompense pour aider à sécuriser les systèmes d’une entreprise.

Le programme de bounty proposé par Facebook est l’un des plus anciens et des plus matures de l’industrie, il a totalisé environ 8 millions de dollars en paiements. L’abus de données est une préoccupation majeure pour Facebook et même les développeurs tiers associés à Facebook sont scrutés pour cela, les chercheurs peuvent alors signaler cela et être récompensés en conséquence.

Vérifiez ici

Google

Le programme de récompense de bug bounty d’Android de Google a été introduit en 2015, récompensant les chercheurs qui trouvent et signalent des problèmes de sécurité pour aider à maintenir l’écosystème Android sûr. Ce programme couvre les vulnérabilités découvertes dans les appareils Pixel ainsi que les dernières versions d’Android.

La récompense la plus lucrative offerte dans le cadre de ce programme est celle de 1 million de dollars concernant la puce Titan M de Google, mais la récompense n’a pas encore été réclamée car la distribution de la récompense a un aspect discrétionnaire et certaines conditions y sont attachées. Certains des facteurs concernant la récompense, en plus de la discrétion du comité en place, sont :

• Un rapport détaillé décrivant comment l’exploit fonctionne.
• Le vecteur d’attaque initial (c’est-à-dire l’exploitation à distance par rapport à locale).
• Que l’exploit soit spécifique à un appareil ou à une version, ou qu’il fonctionne sur un large éventail de versions et d’appareils.
• La quantité d’interaction utilisateur requise pour que l’exploit fonctionne.
• Si l’utilisateur pourrait raisonnablement détecter qu’un exploit est en cours ou terminé.
• La fiabilité de l’exploit.
• Les chaînes d’exploit trouvées sur des versions de prévisualisation spécifiques pour les développeurs d’Android sont éligibles à un bonus de récompense supplémentaire de 50 %.

Google a fait des vagues dans le domaine de la cybersécurité, car rien qu’en 2019, il a versé plus de 1,5 million de dollars en bug bounty, dont le paiement le plus élevé était de 161 337 dollars.

Vérifiez ici

OnePlus

OnePlus a deux programmes de bug bounty différents disponibles qui offrent des paiements substantiels, le premier étant le centre de réponse à la sécurité OnePlus, le programme paiera entre 50 et 7 000 dollars pour les bugs de sécurité que les chercheurs peuvent trouver dans Oxygen OS. Le bounty est ouvert à tous, il suffit de découvrir le bug OnePlus et de soumettre un formulaire en ligne décrivant le problème avec une preuve de concept et le rapport de bug ne doit pas être plagié.

Le deuxième programme de bounty est géré en partenariat avec une plateforme de sécurité appelée HackerOne. Dans ce cadre, seuls certains chercheurs de HackerOne testeront les produits OnePlus pour d’éventuelles menaces de sécurité dans un cadre privé. Bien qu’il soit dit que le programme sera ouvert au public en 2020.

OnePlus a la réputation de fournir une expérience sûre et sans faille, mais à la lumière des échecs dans les déploiements d’Android 10 sur les appareils OnePlus, le programme de bug bounty est très utile.

En plus de ces géants, de nombreuses autres entreprises technologiques lancent ces jours-ci des programmes de bug bounty où les préoccupations en matière de sécurité sont à un niveau record, ce qui garantit que les gens sont compensés pour avoir contourné les failles tout en maintenant la sécurité des systèmes fabriqués par ces entreprises technologiques.

Vérifiez ici