Dropbox rémunère désormais les chasseurs de bugs

Data-stockageSécuritéStockage
dropbox-bug-bounty

En association avec HackerOne, Dropbox monte un programme destiné à récompenser les chercheurs qui trouveront des failles de sécurité dans ses produits.

216 dollars au minimum, sans plafond : c’est la récompense promise par Dropbox à ceux qui dénicheront des failles de sécurité dans ses produits.

Comme Amazon, Facebook, Google, Microsoft, Mozilla ou encore Yahoo, le spécialiste américain du stockage en ligne s’ouvre à la communauté des chercheurs en sécurité informatique dans le cadre d’un programme « Bug Bounty » à durée indéterminée.

Lancée avec le concours de HackerOne, cette initiative s’inscrit comme un complément aux travaux menés jusqu’alors en interne et avec des sociétés partenaires.

Elle ne concerne pour le moment que certaines applications : en l’occurrence Dropbox (versions Web et mobiles, clients de synchronisation, Core SDK), ainsi que la visionneuse de galeries Carousel et le gestionnaire de messagerie électronique Mailbox (iOS, Android, Web).

Dropbox se réserve néanmoins le droit d’accorder un cachet à quiconque mettrait en lumière des vulnérabilités « particulièrement novatrices ou critiques » dans d’autres services de l’écosystème tels Pixelapse, MobileSpan et Readmill.

Ce « Bug Bounty » est par ailleurs rétroactif : un peu plus de 10 000 dollars ont été distribués à des hackers qui avaient communiqué des vulnérabilités via l’interface en place jusqu’alors.

Le montant des récompenses varie selon la nature et la criticité des brèches découvertes. Mais aussi en fonction de la documentation fournie ou encore de la reproductibilité des bugs. Sachant que certaines manipulations sont formellement proscrites : accéder à des données d’utilisateurs sans leur accord, perturber Dropbox en lançant une attaque par déni de service…

Certains scénarios ne sont pas éligibles à récompenses (voir la liste) : problèmes avec des logiciels ou protocoles hors de contrôle de Dropbox, failles de type inter-script sur d’autres sites que dropbox.com, ingénierie sociale sur des employés ou partenaires de l’entreprise, etc.

On notera que Dropbox est, aux côtés d’Open Technology Fund et de Google, membre fondateur de Simply Secure. Dédiée à la simplification des solutions de sécurité informatique, cette entité s’appuie sur la communauté open source pour créer des outils maîtrisables sans avoir besoin de connaissances techniques.

Crédit photo : Wichy – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur