Le site Hackerone.com détaille le programme de chasse aux bugs que Facebook et Microsoft viennent de lancer ensemble. Cette initiative prévoit de récompenser les internautes qui débusqueront des vulnérabilités dans les logiciels les plus utilisés sur Internet. Des failles qui sont donc susceptibles d'affecter de nombreux utilisateurs. Le programme est suivi par un panel d'experts des équipes de Facebook, Google, Microsoft, d'Etsy et d'iSEC Partners.
Hackerone.com mettra les chasseurs de bugs en contact avec les équipes à même de résoudre les failles signalées. Le programme récompensera les personnes qui trouveront des bugs dans Python, Ruby, PHP et Perl, dans les frameworks et outils de développement Django, Ruby on Rails, Phabricator, ainsi que dans les serveurs web Apache et Nginx. Mais il concerne aussi les mécanismes sandbox de certaines applications : navigateurs Chrome (de Google) et Internet Explorer (de Microsoft), de même que le Reader de PDF et le lecteur Flash d'Adobe. Des récompenses seront aussi attribuées à ceux qui repéreront des problèmes liés aux protocoles Internet.
Des récompenses pouvant aller au-delà de 5 000 $
Le montant des sommes attribuées sera fonction de la gravité des problèmes rapportés. Cela pourra aller de 300 à 3 000 dollars pour les failles trouvées dans Phabricator. Par contre, signaler des vulnérabilités qui touchent les sandboxes ou les protocoles Internet rapportera d'emblée 5 000 dollars, somme qui pourra être augmentée suivant l'avis du panel.
Le programme s'adresse à toute personne versée dans les questions de sécurité pour peu que soient respectées la philosophie et les directives communiquées par ses promoteurs. Google a lancé le mois dernier une initiative similaire en offrant des paiements à qui lui rapportera des bugs dans les applications Open Source et bibliothèques comme OpenSSL, OpenSSH, BIND, libjpeg, libpng et autres. Microsoft (en juin) et Facebook (dès 2011) ont eu aussi déjà lancé des programmes de récompenses équivalents.