Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser les commentaires pour donner votre avis, ou la page de contact pour nous contacter. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

Satisfait de l'aide reçue des hackers, Dropbox triple certaines récompenses

Dropbox réévalue à la hausse son barème récompensant ceux et celles lui signalant des failles de sécurité. Il en profite aussi pour annoncer un système de bonus pour les meilleurs rapports qu'il reçoit.

Comme de nombreuses autres sociétés du secteur technologique, Dropbox a mis en place voilà quelques années un programme de chasse aux bugs (ou « bug bounty »). Il s'agit pour l'hébergeur de profiter des talents travaillant en dehors de l'entreprise et de les remercier lorsqu'ils lui remontent des vulnérabilités affectant son service, via le versement de récompenses.

De base, le signalement d'une faille permet à celui qui l'a repérée d'empocher un gain minimum de 216 dollars. Mais pour certains cas de figure, les montants peuvent être de quelques milliers d'euros : comptez par exemple 5 000 dollars pour une faille CSS sur le site Dropbox, 8 000 dollars pour un contournement de l'authentification ou encore 10 000 dollars pour une exécution de code à distance sur ses serveurs.

Triplement des gains

Ces montants vont être réévalués à la hausse. L'entreprise américaine annonce en effet le triplement des récompenses.

Pour un signalement d'une faille liée à l'exécution de code à distance par exemple, le versement sera de 32 768 dollars et de 18 564 dollars si elle touche les clients mobiles et de bureau. La firme précise que ce nouveau barème est rétroactif jusqu'à six mois. En clair, ceux et celles qui ont fait remonter des vulnérabilités très graves à Dropbox ces six derniers mois vont recevoir un gain complémentaire de plusieurs milliers de dollars.

Outre la refonte des récompenses, Dropbox annonce que ses équipes passeront en revue deux fois par an minimum les meilleurs rapports reçus et selon certains critères (qualité du rapport, qualité de la recherche et interaction avec le chercheur), des bonus seront versés. L'entreprise américaine fait savoir que pas moins de 14 000 dollars de bonus ont été versés en plus.

Dropbox a illustré cette logique de bonus avec trois exemples :

Dropbox mobile

Notez toutefois que Dropbox n'accepte pas n'importe quel signalement. Sur HackerOne, la société liste toute une série de cas de figure qui n'est pas éligible à son programme : cela va de l'ingénierie sociale visant ses employés au fait de pouvoir s'inscrire plusieurs fois au site avec la même adresse e-mail, en passant par le signalement de spam, des alertes qui impliquent des navigateurs ou des plateformes obsolètes.

Toujours est-il que le triplement annoncé par Dropbox montre que cette méthode se révèle suffisamment efficace et rentable pour justifier une hausse des dépenses dans bug bounty (cela peut aussi s'expliquer par la difficulté croissante qui peut exister dans le repérage des failles, dans la mesure où de plus en plus de brèches finissent par être corrigées). Mieux vaut prévenir que guérir, en somme.