Dropbox réévalue à la hausse son barème récompensant ceux et celles lui signalant des failles de sécurité. Il en profite aussi pour annoncer un système de bonus pour les meilleurs rapports qu'il reçoit.

Comme de nombreuses autres sociétés du secteur technologique, Dropbox a mis en place voilà quelques années un programme de chasse aux bugs (ou « bug bounty »). Il s’agit pour l’hébergeur de profiter des talents travaillant en dehors de l’entreprise et de les remercier lorsqu’ils lui remontent des vulnérabilités affectant son service, via le versement de récompenses.

De base, le signalement d’une faille permet à celui qui l’a repérée d’empocher un gain minimum de 216 dollars. Mais pour certains cas de figure, les montants peuvent être de quelques milliers d’euros : comptez par exemple 5 000 dollars pour une faille CSS sur le site Dropbox, 8 000 dollars pour un contournement de l’authentification ou encore 10 000 dollars pour une exécution de code à distance sur ses serveurs.

Triplement des gains

Ces montants vont être réévalués à la hausse. L’entreprise américaine annonce en effet le triplement des récompenses.

Pour un signalement d’une faille liée à l’exécution de code à distance par exemple, le versement sera de 32 768 dollars et de 18 564 dollars si elle touche les clients mobiles et de bureau. La firme précise que ce nouveau barème est rétroactif jusqu’à six mois. En clair, ceux et celles qui ont fait remonter des vulnérabilités très graves à Dropbox ces six derniers mois vont recevoir un gain complémentaire de plusieurs milliers de dollars.

Outre la refonte des récompenses, Dropbox annonce que ses équipes passeront en revue deux fois par an minimum les meilleurs rapports reçus et selon certains critères (qualité du rapport, qualité de la recherche et interaction avec le chercheur), des bonus seront versés. L’entreprise américaine fait savoir que pas moins de 14 000 dollars de bonus ont été versés en plus.

Dropbox a illustré cette logique de bonus avec trois exemples :

  • Neex a signalé une vulnérabilité de divulgation de fichier local via le traitement HLS ffmpeg. L’impact sur Dropbox était minimal compte tenu du fait que Dropbox isole tous ses traitements vidéo dans une instance sandbox, mais Dropbox a été impressionné par la qualité de la recherche dans le vecteur concerné. Un fichier vidéo qui permet de lire le contenu de certains fichiers est un vecteur très avancé.
  • Mdv a signalé un XSS au niveau du fournisseur de chat sortant que Dropbox utilise sur ses pages marketing. Bien que le XSS identifié figurait sur le site du fournisseur, Dropbox évalue les bugs en fonction de l’impact sur ses utilisateurs, et non en fonction du responsable du bug. Le rapport de Mdv était excellent et décrivait en détail la façon dont le XSS pouvait affecter la sécurité de ses clients.
  • Frans a signalé à Dropbox une configuration erronée de Mailgun sur email.gateway.dropbox.com. Dropbox a résolu le bug en moins de 30 minutes après son signalement. Puisqu’il s’agit d’un domaine non utilisé, l’impact potentiel était faible. Toutefois, Dropbox a beaucoup apprécié la qualité du rapport et la description détaillée de l’impact. De plus, l’identification des problèmes d’intégration est une vraie nouveauté.

Dropbox mobile

Notez toutefois que Dropbox n’accepte pas n’importe quel signalement. Sur HackerOne, la société liste toute une série de cas de figure qui n’est pas éligible à son programme : cela va de l’ingénierie sociale visant ses employés au fait de pouvoir s’inscrire plusieurs fois au site avec la même adresse e-mail, en passant par le signalement de spam, des alertes qui impliquent des navigateurs ou des plateformes obsolètes.

Toujours est-il que le triplement annoncé par Dropbox montre que cette méthode se révèle suffisamment efficace et rentable pour justifier une hausse des dépenses dans bug bounty (cela peut aussi s’expliquer par la difficulté croissante qui peut exister dans le repérage des failles, dans la mesure où de plus en plus de brèches finissent par être corrigées). Mieux vaut prévenir que guérir, en somme.

Partager sur les réseaux sociaux