Le projet Tor offre jusqu'à 4000 $ par faille dans le cadre d'un programme public de bug bounty
Via la plateforme HackerOne

Le , par Patrick Ruiz, Chroniqueur Actualités
Le projet Tor vient d’annoncer le lancement d’un programme public de bug bounty. Des milliers de dollars attendent les experts en sécurité capables de dénicher des failles de sécurité sérieuses dans le réseau d’anonymisation.

Le projet Tor a annoncé son intention de lancer un programme de bug bounty en décembre 2015 via la plateforme HackerOne. Faisant suite à cette annonce, un programme privé a effectivement démarré en janvier 2016.

« Nous avons premièrement invité un petit nombre d’experts pour l’inspection de notre code. Cela nous a permis de gagner en maîtrise de l’organisation du travail et d’en inviter de plus en plus », a déclaré Georg Koppen, chef du projet du navigateur Tor.

L’équipe du projet Tor compte sur la force du nombre pour améliorer les résultats de cette chasse aux bogues. Avec l’expérience engrangée dans le cadre du programme privé, elle a décidé donc d’ouvrir le programme au public avec le soutien de son partenaire de longue date, l’Open Technology Fund.

Les chercheurs devront trouver des failles dans le démon du réseau d’anonymisation et le navigateur orienté vie privée. Celles pouvant causer une escalade de privilèges, l’exécution de code à distance, un accès non autorisé aux données d’un utilisateur ou l’obtention de données sur les relais et les clients sont les plus recherchées.

Les chercheurs recevront entre 2000 $ et 4000 $ pour les failles les plus sévères. La découverte d’une faille de sévérité moyenne permettra d’obtenir entre 500 $ et 2000 $ de récompense. Enfin, les failles de faible sévérité donneront droit à une récompense entre 100 $ et 500 $.

Il faudrait souligner que les failles découvertes dans des bibliothèques tierces utilisées par Tor donnent droit à une récompense entre 500 $ et 2000 $.

Le réseau Tor est constamment visé par les cybercriminels et les gouvernements à la recherche de moyens pour le compromettre. La décision des responsables du projet Tor de lancer le programme de bug bounty privé en 2016 ferait suite à des soupçons portés contre le FBI l’année précédente.

Le Bureau d’investigation était accusé d’avoir financé les chercheurs de l’institut de génie logiciel de l’université de Carnegie Mellon. Il s’avèrera par la suite que le coupable de la forfaiture était en réalité le Département de la Défense des États-Unis.

Sources : HackerOne, Interview Koppen

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Bug bounty : après le Pentagone, l'US Air Force invite à son tour les experts en sécurité à tester ses systèmes via la plateforme HackerOne
La chasse aux failles est ouverte chez GitHub avec des récompenses comprises entre 100 et 5000 dollars


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Contacter le responsable de la rubrique Accueil