Bug bounty program

Les programmes de bug bounty, parfois appelés vulnerability rewards programs (VRP), sont des initiatives de crowdsourcing qui récompensent les personnes qui signalent des bogues logiciels. De nombreux programmes de primes aux bugs sont créés pour compléter les audits de code internes ou les tests de pénétration, dans le cadre du plan de gestion des vulnérabilités d'une organisation. De nombreux fournisseurs de logiciels et sites Web proposent des programmes de primes aux bugs, en versant des récompenses en espèces aux chercheurs en sécurité logicielle et aux pirates informatiques qui signalent des vulnérabilités logicielles susceptibles d'être exploitées. Les rapports de bogue doivent contenir suffisamment de détails pour permettre à l'entreprise qui offre la prime de reproduire la vulnérabilité. La somme d'argent offerte est généralement proportionnelle à la taille de l'entreprise, à la difficulté de pirater le système et à l'impact potentiel des bogues sur les utilisateurs. Mozilla a versé une prime forfaitaire de 3 000 dollars pour les bogues répondant à ses critères, tandis que Facebook a offert jusqu'à 20 000 dollars pour un seul rapport de bogue. Google a versé 700 000 dollars aux rapporteurs de bogues du système d'exploitation Chrome en 2012 et Microsoft a payé 100 000 dollars au chercheur britannique James Forshaw pour une vulnérabilité d'attaque dans Windows 8.1. Apple a offert des récompenses allant jusqu'à 200 000 dollars pour des failles dans les composants du firmware de démarrage sécurisé d'iOS, et 50 000 dollars pour l'exécution de code arbitraire en utilisant les privilèges du noyau. Si le recours à des hackers éthiques pour trouver des bogues peut être très efficace, ces programmes peuvent également être controversés. Pour limiter les risques potentiels, certaines organisations proposent des programmes de bug bounty fermés qui nécessitent une invitation. Apple, par exemple, a limité la participation au programme de bug bounty à quelques dizaines de chercheurs.