Le projet Tor lance un programme de chasse aux bugs

Le projet Tor s’apprête à lancer son Bug Bounty Program. En vue d’améliorer la qualité de ses outils d’anonymisation.

Le Projet Tor, qui s’applique à fournir des outils pour conserver l’anonymat sur Internet, devrait lancer son propre programme bug bounty début 2016. Autrement dit, l’organisation à but non lucratif pourrait récompenser les chercheurs qui dénichent des failles de sécurité dans ses différents outils, et notamment son navigateur homonyme.

Impliquer plus de gens

L’annonce a été faite cette semaine à l’occasion de la conférence State of the Onion donnée lors du Chaos Communication Congress, en parallèle du Chaos Computer Club, le rendez-vous allemand des hackers de tous poils, rapporte Motherboard. « Nous sommes reconnaissants envers les personnes qui se sont penchées sur notre code au fil des ans, mais la seule façon de continuer les améliorations est d’amener plus de gens à s’impliquer », a déclaré Nick Mathewson co-fondateur responsable de l’architecture de Tor.

Les programmes Bug Bounty sont la plupart du temps proposés par des entreprises privées qui tirent ainsi parti, contre des récompenses plus ou moins élevées, d’un grand grand nombre de compétences informatiques qui dépasse le seul cercle de l’équipe de développeurs interne à l’organisation. Cela permet aussi, dans une certaine mesure, à l’entreprise d’inciter à rapporter les vulnérabilités plutôt qu’à les vendre sur le darknet à des fins frauduleuses ou à des gouvernements. Des pratiques dont certaines sociétés se font une spécialité comme Vupen ou Zerodium.

Sponsorisé par l’OTF

Nick Mathewson n’a pas précisé quels seraient les montants des récompenses ni sous quelle forme seraient rémunérés les chercheurs qui rapportent des vulnérabilités. Contrairement aux organisations comme Google, Facebook, Microsoft ou HP qui rémunèrent grassement les chasseurs de bugs, le projet Tor ne roule pas sur l’or. L’organisation a d’ailleurs récemment lancé une campagne d’appel aux dons afin de s’émanciper un peu plus des subventions du gouvernement américain.

« Nous avons un sponsor, l’OTF [Open Technology Fund], qui paie HackerOne, une entreprise spécialisée, pour nous aider », a indiqué à Motherboard Roger Dingledine, co-fondateur du projet Tor et directeur de recherche. Plate-forme de mise en relation des chercheurs en sécurité avec des entreprises soucieuses des bugs de leurs produits, HackerOne a levé 25 millions de dollars en 2015. Dans un premier temps, le programme bug bounty du projet Tor sera ouvert uniquement sur invitation.


Lire également
Bloquer Tor et le WiFi public, une porte ouverte à un Etat policier
Le FBI et Carnegie Mellon en cheville pour casser Tor
Project Tor dévoile un peu plus Tor Messager