Sécurité : le MIT teste son bug bounty

Le MIT a lancé officiellement en test son bug bounty. Les étudiants et chercheurs vont pouvoir partir à l’assaut de plusieurs sites du célèbre Massachusetts Institute of Technology.

Et un de plus. Le très célèbre Massachusetts Institute of Technology (MIT) a franchi le Rubicon des bug bounty en lançant son programme en test. Le périmètre de jeu des hackers est limité à quelques domaines : https://student.mit.edu, https://atlas.mit.edu, https://learning-modules.mit.edu et https://bounty.mit.edu.

Un terrain néanmoins propice à plusieurs options d’attaques autorisées comme l’exécution de code à distance, des injections SQL, des élévations de privilèges, des cross-scripting, etc. Par contre, interdiction de s’aventurer avec des attaques en déni de service, de l’ingénierie sociale ou des exploits physiques sur le réseau, etc.

En version expérimentale, le bug bounty du MIT ne s’adresse qu’aux personnes qualifiées et identifiées. C’est-à-dire principalement aux chercheurs et enseignants présents sur le campus. Pas d’éléments extérieurs donc dans un premier temps, l’établissement supérieur se réserve la possibilité d’étendre son programme à d’autres intervenants lors d’une prochaine session.

Des récompenses encore timides

Côté récompense, il ne faut pas s’attendre à des primes sonnantes et trébuchantes, le MIT accordera des crédits sur TechCash (système de paiement propre à l’établissement). Sans toutefois préciser les montants versés en fonction des vulnérabilités découvertes.

Le MIT rejoint donc la liste des structures ayant mis en place des programmes de recherche de vulnérabilités. Compagnies aériennes, constructeurs automobiles, compagnie de voitures avec chauffeur, Pentagone… : la chasse aux failles touche désormais de nombreux secteurs. L’objectif est de trouver des brèches dans les sites et les colmater avant que des personnes malveillantes ne les dénichent et les utilisent. Si quelques sociétés récompensent les chercheurs avec de l’argent, la plupart propose des dédommagements comme des points de fidélité dans le cas d’une compagnie aérienne. D’autres déléguent leurs recherches de bugs à des sociétés spécialisées dans la création de bug bounty. Les chercheurs se voient ainsi attribuer des points et peuvent se classer parmi les meilleurs chasseurs de bugs.

A lire aussi :

Le Bug Bounty du siècle : hackez le Pentagone

Bounty Factory : la recherche de bugs made in Europe est née

Crédit Photo : Olivier le Moal-Shutterstock