D'après des hackers, Uber ne serait pas le meilleur élève quand il s'agit de récompenser la découverte de failles de sécurité.

La pratique du bug bounty n’est pas nouvelle : pour faire simple, des sociétés plus ou moins grosses s’en remettent à la communauté des hackers pour tester la sécurité de leurs services. Quand un hacker trouve une faille, il fait un rapport à la société qui va lui donner une récompense plus ou moins importante selon la gravité de la faille détectée et les éventuelles solutions proposées par le hacker pour la corriger. Une sorte de cercle vertueux dans lequel tout le monde est content dans la mesure où les hackers peuvent parfois gagner beaucoup d’argent et les sociétés s’évitent à moindre frais des scandales liés aux fuites de données des utilisateurs… ou pire.

Tout cela, c’est quand les opérations se passent bien car d’après plusieurs témoignages, le programme de bug bounty d’Uber ne respecterait pas les règles du jeu. La société américaine, qui n’a pourtant pas de souci à se faire au niveau du cash qu’elle a en banque, userait de tours de passe-passe pour éviter de payer les hackers qui découvrent des failles de sécurité sur ses services. Cela aurait pu passer inaperçu si Sean Melia, le hacker numéro 1 sur HackerOne, un site qui recense tous les programmes de bug bounty, n’avait pas clamé avoir été victime de la société sur Twitter.

Un autre hacker confirme sur Reddit une expérience similaire : après avoir signalé une faille, un administrateur du programme a fait des pirouettes pour éviter de le payer pour la découverte d’un bug, en fermant et en rouvrant le rapport plusieurs fois avant de rester silencieux. Un autre utilisateur de Reddit rappelle que cette pratique est courante : une société affirme que le bug a déjà été trouvé, le marque comme dupliqué, le corrige en douce et oublie de payer le hacker. Personne ne peut savoir si c’était effectivement le cas ou si la société a été volontairement malintentionnée. 

Si l’on fait un tour sur HackerOne, on s’aperçoit pourtant que Uber a payé plusieurs rapports sur des failles dans les dernières 24 heures, ce qui montre que la société n’est pas complètement en-dehors des règles. Sur sa page, on voit qu’elle a récompensé 56 hackers et elle a annoncé hier lancer au premier mai un programme beaucoup plus ambitieux : les hackers auront 90 jours pour tester tous les services de la firme et pourront gagner d’une centaine de dollars par bug jusqu’à 10 000 dollars pour des failles plus conséquentes.

Capture d’écran 2016-03-24 à 11.09.23

Difficile, dans ces conditions, de démêler le vrai du faux, la bonne intention de la mauvaise. Reste que ce genre d’affaires n’est jamais bonne pour une société qui vit du web : se mettre à dos une partie des gens qui savent comment pénétrer ses défenses numériques n’est pas la meilleure stratégie. Sans parler du marché noir de la faille de sécurité qui n’est jamais loin.

Partager sur les réseaux sociaux

Articles liés