Et un de plus. Le très célèbre Massachusetts Institute of Technology (MIT) a franchi le Rubicon des bug bounty en lançant son programme en test. Le périmètre de jeu des hackers est limité à quelques domaines : https://student.mit.edu, https://atlas.mit.edu, https://learning-modules.mit.edu et https://bounty.mit.edu.
Un terrain néanmoins propice à plusieurs options d’attaques autorisées comme l’exécution de code à distance, des injections SQL, des élévations de privilèges, des cross-scripting, etc. Par contre, interdiction de s’aventurer avec des attaques en déni de service, de l’ingénierie sociale ou des exploits physiques sur le réseau, etc.
En version expérimentale, le bug bounty du MIT ne s’adresse qu’aux personnes qualifiées et identifiées. C’est-à-dire principalement aux chercheurs et enseignants présents sur le campus. Pas d’éléments extérieurs donc dans un premier temps, l’établissement supérieur se réserve la possibilité d’étendre son programme à d’autres intervenants lors d’une prochaine session.
Côté récompense, il ne faut pas s’attendre à des primes sonnantes et trébuchantes, le MIT accordera des crédits sur TechCash (système de paiement propre à l’établissement). Sans toutefois préciser les montants versés en fonction des vulnérabilités découvertes.
Le MIT rejoint donc la liste des structures ayant mis en place des programmes de recherche de vulnérabilités. Compagnies aériennes, constructeurs automobiles, compagnie de voitures avec chauffeur, Pentagone… : la chasse aux failles touche désormais de nombreux secteurs. L’objectif est de trouver des brèches dans les sites et les colmater avant que des personnes malveillantes ne les dénichent et les utilisent. Si quelques sociétés récompensent les chercheurs avec de l’argent, la plupart propose des dédommagements comme des points de fidélité dans le cas d’une compagnie aérienne. D’autres déléguent leurs recherches de bugs à des sociétés spécialisées dans la création de bug bounty. Les chercheurs se voient ainsi attribuer des points et peuvent se classer parmi les meilleurs chasseurs de bugs.
A lire aussi :
Le Bug Bounty du siècle : hackez le Pentagone
Bounty Factory : la recherche de bugs made in Europe est née
Sous la marque Horizon OS, Meta va ouvrir le système d'exploitation des casques Quest à…
Après avoir essaimé dans 145 pays, la communauté de femmes de la tech Women Who…
Les voix du CISPE et des associations d'utilisateurs s'accordent face à Broadcom et à ses…
Bonnes pratiques, indicateurs, prestataires... Aperçu de quelques arbitrages que le comité d'organisation de Paris 2024…
Le 31 mars 2023, le PTCC (Programme de transfert au Campus Cyber) était officiellement lancé.…
Nicolas Gour, DSI du groupe Worldline, explique comment l’opérateur de paiement fait évoluer sa gouvernance…