Les bugs bounty sont légion dans le monde de l'informatique. On ne compte plus en effet les entreprises et fournisseurs IT (Google, Microsoft, Intel...) qui proposent des récompenses pour les aider à faire la chasse aux bugs. En revanche il est beaucoup moins habituel de voir des associations comme Tor, financée à l'origine par des fonds publics américains pour favoriser les communications sécurisés, lancées ce genre de programme. Ce réseau mondial d'échanges de données anonymisées, prisé aussi bien des ardents défenseurs des libertés activistes, avocats, chercheurs et journalistes que des pirates et escrocs en tout genre - vient en effet d'annoncer son programme de chasse aux bugs avec à la clef une substantielle récompense.
« Avec le soutien du Open Technology Fund, nous lançons notre premier programme de chasse au bug public avec HackerOne. Nous recherchons spécifiquement votre aide pour trouver des bugs dans Tor (réseau Daemon) et Tor Browser. Certaines des vulnérabilités que nous recherchons incluent l'escalade des privilèges locaux, l'accès non autorisé aux données de l'utilisateur, les attaques qui causent la fuite de matériel crypto-relais ou les clients et l'exécution de code à distance », explique Tor sur son site.
Le montant de la prime versée par Tor pour les bugs trouvés, qui dépend de leur impact et de leur niveau de criticité, peut grimper jusqu'à 4 000 dollars.
Commentaire