216 dollars au minimum, sans plafond : c’est la récompense promise par Dropbox à ceux qui dénicheront des failles de sécurité dans ses produits.
Comme Amazon, Facebook, Google, Microsoft, Mozilla ou encore Yahoo, le spécialiste américain du stockage en ligne s’ouvre à la communauté des chercheurs en sécurité informatique dans le cadre d’un programme « Bug Bounty » à durée indéterminée.
Lancée avec le concours de HackerOne, cette initiative s’inscrit comme un complément aux travaux menés jusqu’alors en interne et avec des sociétés partenaires.
Elle ne concerne pour le moment que certaines applications : en l’occurrence Dropbox (versions Web et mobiles, clients de synchronisation, Core SDK), ainsi que la visionneuse de galeries Carousel et le gestionnaire de messagerie électronique Mailbox (iOS, Android, Web).
Dropbox se réserve néanmoins le droit d’accorder un cachet à quiconque mettrait en lumière des vulnérabilités « particulièrement novatrices ou critiques » dans d’autres services de l’écosystème tels Pixelapse, MobileSpan et Readmill.
Ce « Bug Bounty » est par ailleurs rétroactif : un peu plus de 10 000 dollars ont été distribués à des hackers qui avaient communiqué des vulnérabilités via l’interface en place jusqu’alors.
Le montant des récompenses varie selon la nature et la criticité des brèches découvertes. Mais aussi en fonction de la documentation fournie ou encore de la reproductibilité des bugs. Sachant que certaines manipulations sont formellement proscrites : accéder à des données d’utilisateurs sans leur accord, perturber Dropbox en lançant une attaque par déni de service…
Certains scénarios ne sont pas éligibles à récompenses (voir la liste) : problèmes avec des logiciels ou protocoles hors de contrôle de Dropbox, failles de type inter-script sur d’autres sites que dropbox.com, ingénierie sociale sur des employés ou partenaires de l’entreprise, etc.
On notera que Dropbox est, aux côtés d’Open Technology Fund et de Google, membre fondateur de Simply Secure. Dédiée à la simplification des solutions de sécurité informatique, cette entité s’appuie sur la communauté open source pour créer des outils maîtrisables sans avoir besoin de connaissances techniques.
Crédit photo : Wichy – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…