L’entreprise veut que les chercheurs signalent des bogues dans les 24 heures suivant leur découverte. Ils doivent également éviter de perturber le trafic de Pornhub ou même de causer une interruption de service. Pornhub a également interdit l’utilisation des outils automatisés de test de sécurité ainsi que toute manœuvre qui manipule, laisse filtrer ou endommage les données des utilisateurs ainsi que leur vie privée d’une quelconque façon.
Selon les termes proposés par Pornhub, le programme va récompenser les chercheurs en sécurité qui trouvent des failles sur le site Pornhub d’un montant qui peut aller de 50 à 25 000 dollars, à condition que :
- le chercheur soit le premier à signaler la faille ;
- le chercheur envoie une description textuelle claire sur la vulnérabilité reportée ainsi que les étapes pour la reproduire ;
- le chercheur inclut des fichiers comme des captures d’écran ou des codes de preuve de concept ;
- le chercheur adresse le rapport de vulnérabilité directement et exclusivement à Pornhub.
Pornhub indique que son équipe de sécurité répondra au rapport ainsi soumis dans les 30 jours et se donne 90 jours au maximum pour colmater les failles qui lui seront soumises.
Corey Price, Vice-Président de Pornhub, a indiqué que « comme d'autres grands acteurs technologiques l’ont fait récemment, nous voulons mettre à profit certains des chercheurs en sécurité les plus talentueux en tant que mesure proactive et préventive - en plus de nos équipes dédiées au développement et à la sécurité - afin d’assurer non seulement la sécurité de notre site, mais également celle de nos utilisateurs, ce qui est primordial pour nous ».
Pornhub vient donc rejoindre les grandes enseignes technologiques qui ont déjà des années d’expérience dans le domaine comme Facebook ou Google. Il faut tout de même noter que si les entreprises de la Silicon Valley ont opté pour se plier à ce genre d’exercice, Apple fait figure d’exception puisque l’entreprise ne dispose pas d’un tel programme de rémunération des chercheurs en sécurité. À ce propos, au vu de l’actualité qui l’a opposé au gouvernement américain, le quotidien New York Times a posé une excellente question : « étant donné que le FBI a demandé l'aide de Cellebrite pour l’aider à accéder l’iPhone verrouillé de Syed Farook, est-il possible que l’entreprise soit plutôt allée directement vers Apple si ce dernier disposait d’un programme Bug Bounty déjà fonctionnel ? ».
« L’entreprise n’a pas encore donné aux hackers plus qu’une étoile en or. Lorsque les hackers trouvent des failles sérieuses dans ses produits, ils peuvent voir leur nom figurer dans une liste publiée par l’entreprise, mais c’est tout. Ce qui est très loin de ce que les hackers peuvent obtenir s’ils vendent les failles découvertes sur les produits Apple à des marchés clandestins où un nombre croissant d’entreprises et de gouvernements sont prêts à les payer grassement », a noté le quotidien.
Il faut rappeler que le FBI n’a pas communiqué la faille utilisée pour accéder au contenu de l’iPhone verrouillé, prétextant qu’il n’a pas de propriété légale sur l’information nécessaire et les techniques qui ont été utilisées pour passer outre la sécurité de l’iPhone, alors cette vulnérabilité ne saurait passer par l’examen du VEP. Pour rappel, le VEP (Vulnerabilities Equities Process) désigne la politique officielle du gouvernement américain pour déterminer quand divulguer une vulnérabilité de sécurité.
Source : communiqué de presse Pornhub, New York Times
Et vous ?
Qu'en pensez-vous ?
Voir aussi :
Le FBI ne va pas communiquer à Apple la faille dont il s'est servi pour débloquer l'iPhone de l'auteur des attentats de San Bernardino
Le site The Pirate Bay a été la cible d'une campagne de malvertising, les utilisateurs ont été infectés par le ransomware Cerber