Que sont les programmes de primes aux bugs ? Voici tout ce que vous devez savoir

Tous les logiciels ont des bogues, ou des défauts qui déclenchent des problèmes. Ils varient de problèmes banals qui n'influencent pas l'efficacité du logiciel de manière majeure, à de graves failles de sécurité.

Les bogues peuvent être difficiles à trouver, c'est pourquoi de nombreuses entreprises technologiques ont des programmes de primes aux insectes. Mais qu'est-ce qu'un programme de primes aux insectes ? Comment fonctionnent-ils et comment contribuent-ils à améliorer la sûreté et la sécurité d'un produit ?

Comment les programmes de primes aux insectes fonctionnent

Les entreprises publient des programmes de primes aux insectes afin d'inciter les cyberpunks " white hat " à rechercher des failles de sécurité et des vulnérabilités similaires dans les applications logicielles. Il y a généralement une récompense monétaire plus que respectable pour ceux qui trouvent un bug, malgré exactement comment trivial il pourrait sembler à l'individu moyen.

Et ce ne sont pas seulement les petites entreprises prometteuses qui ont des programmes de primes aux bugs. En fait, la majorité des titans de la technologie en ont, notamment Google, Microsoft, Facebook et Apple. Les informations sur ces programmes se trouvent généralement sur le site web officiel de l'entreprise. En général, il existe un certain nombre de taux ou de catégories. Cependant, selon le concept, plus le bug est considérable, plus l'incitation est importante.

Une fois qu'un cyberpunk white hat découvre un parasite, il soumet un dossier de divulgation détaillé décrivant ce qu'il a repéré. Les concepteurs d'entreprises passent ensuite en revue et examinent la soumission, et aussi si les recherches du chercheur pour devenir précis ainsi que utile, ils sont notifiés et aussi recevoir un avantage financier.

Ce système fonctionne à la fois pour les entreprises et les chercheurs indépendants. Du point de vue de n'importe quelle entreprise, il vaut mieux qu'un pirate honnête trouve un bogue qu'une star de la menace, qui irait probablement l'exploiter avant qu'il ne soit rétabli, créant éventuellement des millions de problèmes. Les cyberpunks, d'un autre côté, font une bonne partie de l'ajustement en rejoignant les programmes de primes aux bugs - certains gagnent même des revenus à plein temps en découvrant les vulnérabilités des applications logicielles.

Exemples de programmes de primes aux bugs améliorant la sécurité des logiciels

Il est bon de savoir comment les programmes de primes aux insectes fonctionnent en théorie, mais jetons un coup d'œil à quelques exemples concrets d'entreprises qui versent de grosses sommes à des cyberpunks white hat.

Voir aussi :  Binance est-il un échange de crypto-monnaies sûr et sécurisé ?

En participation avec la plateforme de bug bounty Immunefi, le système de pont décentralisé blockchain Wormhole a publié en février 2022 un programme de prime offrant 10 millions de dollars à toute personne qui découvre un bug de sécurité critique. Assez rapidement, un hacker white hat faisant usage du pseudonyme satya0x en a découvert un. Comme Immunefi l'a décrit dans un Moyen article, le bug aurait pu entraîner le blocage de fonds individuels, aussi satya0x a-t-il obtenu 10 millions de dollars pour l'avoir divulgué.

Toujours en février 2022, la bourse de crypto-monnaies Coinbase a versé une prime aux insectes de 250 000 dollars à un chercheur indépendant pour avoir mis au jour un problème majeur dans l'interface utilisateur de négociation de la plateforme.

Aurora Labs , la société derrière la machine virtuelle Aurora Ethereum (ETH), a versé une énorme prime de 6 millions de dollars en avril 2022. L'argent a été accordé à un hacker éthique désigné sous le nom de pwning.eth, après qu'il ait découvert une susceptabilité qui aurait permis aux acteurs de la menace de monnayer un approvisionnement infini de la crypto-monnaie Ethereum dans le moteur Aurora.

Le géant canadien du commerce électronique Shopify , quant à lui, a endommagé son propre document en 2021, lorsque ses paiements de primes ont atteint 1 million de dollars. Cette année-là, l'entreprise a obtenu un total de 3 000 rapports de bogues de la part de cyberpunks white hat du monde entier. En retour, Shopify a augmenté son incitation optimale à la prime à 100 000 $.

Ces chiffres peuvent sembler absurdement élevés, mais ils ne le sont vraiment pas en comparaison de l'argent et des informations que les cybercriminels peuvent ou non gagner en découvrant des vulnérabilités. Wormhole vient de mettre en place une prime de 10 millions de dollars après avoir perdu 320 millions de dollars à cause d'une violation. Aurora Labs a compensé un hacker white hat parce que 6 millions de dollars font pâle figure face à la perte de 240 millions de dollars d'ETH, tandis que Coinbase et Shopify ont peut-être économisé des dizaines de millions en compensant des scientifiques diligents.

Les 5 meilleurs programmes de Bug Bounty à forte rémunération.

Parce que les entreprises conservent effectivement beaucoup d'argent en mettant en place des programmes de primes aux insectes satisfaisants, il existe une gamme d'alternatives parmi lesquelles les scientifiques peuvent choisir. S'il se trouve que vous êtes un hacker white hat ou que vous souhaitez le devenir, voici 5 programmes de primes aux insectes parasites bien rémunérés à considérer.

Voir aussi :  Malwarebytes fonctionne-t-il avec Microsoft Defender ?

1. Prime de sécurité d'Apple

Apple Security Bounty est l'un des programmes de primes les plus importants au monde. Les récompenses vont de 5 000 dollars pour la découverte de vulnérabilités de l'écran de verrouillage, à 2 millions de dollars pour des ouvertures de sécurité qui permettraient certainement à une vedette du danger de contourner les défenses du mode verrouillage. Tout ce que vous avez à faire pour soumettre une fiche d'insecte (qui doit être complète ainsi que détaillée) est de vous connecter avec votre identifiant Apple.

2. Programme de primes aux bugs de Microsoft

Un autre programme de primes pour les insectes bien connu est géré par Microsoft, qui utilise une variété de récompenses. Tout comme celui d'Apple, le programme de Microsoft est divisé en plusieurs catégories. Par exemple, si vous trouvez une susceptabilité dans le cadre Microsoft.NET, vous pouvez espérer un règlement d'environ 15 000 dollars. En revanche, si vous en découvrez une dans Microsoft Hyper-V, vous pouvez obtenir une indemnité d'environ 250 000 $.

3. Programme de récompenses Samsung

Le programme de récompenses Samsung est axé sur les produits mobiles de la firme. Il comporte des plans raisonnablement rigoureux, alors assurez-vous de les lire attentivement avant d'envoyer un insecte. Gardez également à l'esprit que seuls les insectes qui affectent la sûreté et la sécurité des outils Samsung sont pris en compte par les ingénieurs de la société. Les récompenses varient entre 200 $ et 200 000 $.

4. Chasseurs de bugs de Google

Dans le programme de primes de Google Bug Hunters, les avantages vont jusqu'à 30 000 $. Les chasseurs d'insectes, comme on appelle généralement les hackers white hat, peuvent signaler les parasites dans Gmail, YouTube, BlogSpot, et aussi divers autres services Google. Ce programme dispose d'une zone extrêmement énergique et aussi de sa propre université en ligne, qui peut être une excellente ressource pour les scientifiques débutants.

5. Meta Bug Bounty

Le programme de primes de Meta couvre Facebook, Instagram, WhatsApp, Messenger, ainsi qu'une variété d'autres éléments. Pour être pris en compte pour une prime (le minimum est de 500 $), vous devez découvrir des vulnérabilités qui positionnent un danger pour la protection ou la vie privée et satisfaire des besoins clairement définis. Tous les enregistrements valides obtiennent une réponse. Si plusieurs chercheurs trouvent le même problème, l'incitation est accordée à la toute première personne à envoyer un rapport.

Voir aussi :  Quelle est la rentabilité des logiciels malveillants pour les organisations criminelles ?

Programmes de primes aux bugs : Le meilleur de la sécurité financée par la foule

Les programmes de primes aux bugs représentent le plus efficace de la sécurité crowdsourcée. Et ce ne sont pas seulement les entreprises technologiques ainsi que les scientifiques de la cybersécurité qui en bénéficient.tout le monde en profite, composé des clients.

Pour certains, la chasse aux bugs est un passe-temps, et aussi pour d'autres un travail à part entière. Si vous faites partie de cette dernière catégorie, ou si vous y aspirez, il existe de nombreux cours en ligne qui valent le coup d'œil.

S'abonner à notre e-newsletter

Que fait un programme de primes aux bugs ?

Un bug bounty offre une sorte de vérification de la santé mentale d'un produit numérique, permettant aux testeurs avec un point de vue extérieur de trouver des vulnérabilités et des défauts pour les zones dans une portée définie. L'argent est une énorme motivation pour les testeurs qui participent à des programmes de bug bounty, mais ils peuvent également offrir une notoriété au sein de la communauté.

Quel langage de programmation dois-je apprendre pour le bug bounty ?

JavaScript : Une fois que vous vous êtes familiarisé avec le HTML, vous devez comprendre JavaScript puisque vous l'utiliserez pour exploiter les vulnérabilités XSS. L'utilisation de JavaScript n'est pas seulement limitée au moment où vous exploitez XSS, c'est donc un langage de programmation très pratique à connaître.

Le bug bounty est-il bon pour les débutants ?

Ce cours est très pratique et est fait sur des sites Web Live c'est très utile lorsque vous commencez votre voyage de chasse aux bugs. Aucune compétence particulière n'est requise car le cours couvre tout depuis les bases. Vous commencerez comme un débutant sans expérience pratique sur la chasse aux bugs et les tests de pénétration.

  • Intel
  • Yahoo
  • Snapchat
  • Cisco
  • Dropbox
  • Apple
  • Facebook
  • Google

Cliquez pour évaluer cet article !
[Total: Moyenne : ]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.