Après ses déboires en termes de sécurité, notamment vis-à-vis des failles majeures détectées sur Flash et d’autres applications de l’entreprise, Adobe a décidé d’aborder le problème différemment en demandant aux utilisateurs de rechercher des bogues dans ses logiciels. Une pratique qui a sans doute déjà fait ses preuves auprès de nombreuses autres sociétés comme Google, Facebook et d’autres encore qui disposent de leurs propres programmes de chasses aux bogues.« En guise de reconnaissance du rôle important joué par les chercheurs en sécurité indépendants dans le fait de garder les clients Adobe en sécurité, aujourd’hui Adobe lance un programme de divulgation de vulnérabilités d’applications web sur la plateforme HackerOne. Les chasseurs de bogues qui identifient des vulnérabilités sur une plateforme web dans un service en ligne ou une propriété web Adobe peuvent désormais faire parvenir le problème à Adobe tandis qu’ils boosteront leur score de réputation sur HackerOne » a annoncé Pieter Ockers, le responsable sécurité d’Adobe.
« Adobe continue d’apprécier et de coordonner les divulgations sur les problèmes de sécurité affectant les produits sur ordinateur de bureau et sur les solutions sur les sites entreprises en les notifiant à notre équipe de réponse aux incidents de sécurité produit », a conclu Ockers.
Il faut quand même préciser que, même si le programme n’a été annoncé qu’hier, il est opérationnel depuis un mois déjà. D’ailleurs, vous le remarquerez sur l’historique sur la plateforme qui indique qu’Adobe a colmaté une faille il y a 23 jours présentée par le pseudonyme awillard.
Sur la plateforme, Adobe a donné toutes les indications. Notamment sur la procédure à suivre, les failles qui répondent aux critères de vulnérabilités ainsi que celles qui ne sont pas éligibles.
Pour l’ingénieur Drew Sing de BugCrowd, les programmes de chasse aux bogues marchent mieux quand il y a de l’argent à la clé. Dans son guide de programme de vulnérabilités publié en juillet, il a expliqué que l’argent est la meilleure motivation pour encourager les chercheurs à effectuer des tests intenses des produits et services sur une base régulière. « Un problème de sécurité de haute priorité mal géré peut nuire à la réputation de l’entreprise (…) les équipes de développement et de communication sont toutes des composantes essentielles pour la réussite d’une telle entreprise » a-t-il rajouté.
Alors pourquoi Adobe a-t-il opté pour la reconnaissance sous forme de tableau de la renommée au lieu de verser des compensations en numéraire aux chercheurs comme Google par exemple ? Est-ce la meilleure méthode pour obtenir le meilleur des chercheurs en sécurité ? Seul le temps nous le dira.
Source : HackerOne
Et vous ?
Qu'en pensez-vous ? 
