Sony vient de lancer une chasse aux bugs publique pour améliorer la sécurité de la PlayStation 4 et de son service de jeu en ligne, le PlayStation Network.

Mieux vaut tard que jamais. Plus de six ans après son lancement dans le commerce, la PlayStation 4 a droit à son « bug bounty ». Sony en a fait l’annonce le 24 juin sur son blog, en précisant que ce programme concerne aussi le PlayStation Network (PSN), le service en ligne sur lequel les joueurs et les joueuses propriétaires de ses consoles se retrouvent pour faire des parties ensemble.

Un bug bounty est une chasse aux bugs ouverte aux contributions extérieures. Il s’agit en fait de solliciter des talents externes à une organisation pour apporter un œil nouveau à la sécurité des systèmes d’information et déceler des défauts de conception logicielle qui ont échappé à la vigilance des employés. En échange, des récompenses sont versées, avec une grille dépendant des failles rencontrées.

Sony avait déjà un mini-bug bounty, mais il n’était pas public et n’impliquait qu’une poignée d’experts en informatique.

L’élargissement du bug bounty de Sony est une décision bienvenue, d’autant que Sony a été marqué par le passé par une très grave intrusion dans son système d’information. En 2011, le service avait été mis à terre par une attaque, entraînant la fuite d’une quantité très importante de données personnelles et bancaires, et une mise hors ligne de plusieurs semaines pour maintenance.

Le PlayStation Network (PSN) constitue l’autre gros volet du bug bounty mis en place par Sony.

Les anciennes consoles PlayStation exclues

Pour son programme, Sony a choisi de passer par HackerOne. Une page détaille comment s’organise le bug bounty : quels sont les montants proposés (de 100 à 50 000 dollars selon le degré de dangerosité du problème remonté), quel est le périmètre de la recherche (sur les vulnérabilités, comme au niveau du matériel et des services) et dans quelles conditions les échanges avec Sony se déroulent.

Par exemple, Sony précise que le bug bounty ne couvre pas ses anciennes consoles (PS1, PS2, PS3, PS Vita et PSP or tout autre matériel) ni les logiciels de tiers (comme des jeux vidéo ou des applications). Par contre, les vulnérabilités sur des domaines relatifs au PSN sont éligibles, comme store.playstation.com, transact.playstation.com ou encore tout ce qui a trait à playstation.net.

La PlayStation 5 est aussi exclue, puisque sa carrière n’a pas encore débuté. Elle sera mise en vente en fin d’année.

Le programme de chasse aux bugs est ouvert à tout le monde, à partir du moment où les règles établies par Sony sont respectées, en particulier pour ce qui relève de la divulgation responsable — une vulnérabilité identifiée doit rester confidentielle assez longtemps pour que l’entreprise concernée puisse apporter les corrections adéquates, et ainsi éviter qu’elle ne serve à des individus malveillants.

Partager sur les réseaux sociaux