Mieux vaut tard que jamais. Plus de six ans après son lancement dans le commerce, la PlayStation 4 a droit à son « bug bounty ». Sony en a fait l’annonce le 24 juin sur son blog, en précisant que ce programme concerne aussi le PlayStation Network (PSN), le service en ligne sur lequel les joueurs et les joueuses propriétaires de ses consoles se retrouvent pour faire des parties ensemble.
Un bug bounty est une chasse aux bugs ouverte aux contributions extérieures. Il s’agit en fait de solliciter des talents externes à une organisation pour apporter un œil nouveau à la sécurité des systèmes d’information et déceler des défauts de conception logicielle qui ont échappé à la vigilance des employés. En échange, des récompenses sont versées, avec une grille dépendant des failles rencontrées.
Sony avait déjà un mini-bug bounty, mais il n’était pas public et n’impliquait qu’une poignée d’experts en informatique.
L’élargissement du bug bounty de Sony est une décision bienvenue, d’autant que Sony a été marqué par le passé par une très grave intrusion dans son système d’information. En 2011, le service avait été mis à terre par une attaque, entraînant la fuite d’une quantité très importante de données personnelles et bancaires, et une mise hors ligne de plusieurs semaines pour maintenance.
Le PlayStation Network (PSN) constitue l’autre gros volet du bug bounty mis en place par Sony.
Les anciennes consoles PlayStation exclues
Pour son programme, Sony a choisi de passer par HackerOne. Une page détaille comment s’organise le bug bounty : quels sont les montants proposés (de 100 à 50 000 dollars selon le degré de dangerosité du problème remonté), quel est le périmètre de la recherche (sur les vulnérabilités, comme au niveau du matériel et des services) et dans quelles conditions les échanges avec Sony se déroulent.
Par exemple, Sony précise que le bug bounty ne couvre pas ses anciennes consoles (PS1, PS2, PS3, PS Vita et PSP or tout autre matériel) ni les logiciels de tiers (comme des jeux vidéo ou des applications). Par contre, les vulnérabilités sur des domaines relatifs au PSN sont éligibles, comme store.playstation.com, transact.playstation.com ou encore tout ce qui a trait à playstation.net.
La PlayStation 5 est aussi exclue, puisque sa carrière n’a pas encore débuté. Elle sera mise en vente en fin d’année.
Le programme de chasse aux bugs est ouvert à tout le monde, à partir du moment où les règles établies par Sony sont respectées, en particulier pour ce qui relève de la divulgation responsable — une vulnérabilité identifiée doit rester confidentielle assez longtemps pour que l’entreprise concernée puisse apporter les corrections adéquates, et ainsi éviter qu’elle ne serve à des individus malveillants.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
