Pour gérer vos consentements :

Sécurité : le MIT teste son bug bounty

Et un de plus. Le très célèbre Massachusetts Institute of Technology (MIT) a franchi le Rubicon des bug bounty en lançant son programme en test. Le périmètre de jeu des hackers est limité à quelques domaines : https://student.mit.edu, https://atlas.mit.edu, https://learning-modules.mit.edu et https://bounty.mit.edu.

Un terrain néanmoins propice à plusieurs options d’attaques autorisées comme l’exécution de code à distance, des injections SQL, des élévations de privilèges, des cross-scripting, etc. Par contre, interdiction de s’aventurer avec des attaques en déni de service, de l’ingénierie sociale ou des exploits physiques sur le réseau, etc.

En version expérimentale, le bug bounty du MIT ne s’adresse qu’aux personnes qualifiées et identifiées. C’est-à-dire principalement aux chercheurs et enseignants présents sur le campus. Pas d’éléments extérieurs donc dans un premier temps, l’établissement supérieur se réserve la possibilité d’étendre son programme à d’autres intervenants lors d’une prochaine session.

Des récompenses encore timides

Côté récompense, il ne faut pas s’attendre à des primes sonnantes et trébuchantes, le MIT accordera des crédits sur TechCash (système de paiement propre à l’établissement). Sans toutefois préciser les montants versés en fonction des vulnérabilités découvertes.

Le MIT rejoint donc la liste des structures ayant mis en place des programmes de recherche de vulnérabilités. Compagnies aériennes, constructeurs automobiles, compagnie de voitures avec chauffeur, Pentagone… : la chasse aux failles touche désormais de nombreux secteurs. L’objectif est de trouver des brèches dans les sites et les colmater avant que des personnes malveillantes ne les dénichent et les utilisent. Si quelques sociétés récompensent les chercheurs avec de l’argent, la plupart propose des dédommagements comme des points de fidélité dans le cas d’une compagnie aérienne. D’autres déléguent leurs recherches de bugs à des sociétés spécialisées dans la création de bug bounty. Les chercheurs se voient ainsi attribuer des points et peuvent se classer parmi les meilleurs chasseurs de bugs.

A lire aussi :

Le Bug Bounty du siècle : hackez le Pentagone

Bounty Factory : la recherche de bugs made in Europe est née

Crédit Photo : Olivier le Moal-Shutterstock

Recent Posts

GitHub Copilot : danger sur l’open source ?

Désormais en phase commerciale, GitHub Copilot est source de questionnements éthiques et juridiques dans la…

55 minutes ago

Noyau Linux : Rust fusionné demain (ou presque)

Le support Rust for Linux pourrait être prêt pour la version 5.20 du noyau Linux,…

3 jours ago

Cloud et sécurité : les référentiels-clés selon le Clusif

Le Clusif a listé 23 référentiels pour traiter le sujet de la sécurité dans le…

3 jours ago

Tech : une équité salariale contrariée

Malgré des avancées, la diversification des embauches et l'équité salariale progressent lentement dans les technologies…

3 jours ago

Assurance cyber : le marché français en 9 chiffres

Primes, capacités, franchises, indemnisations... Coup de projecteur sur quelques aspects du marché français de l'assurance…

3 jours ago

CodeWhisperer : AWS a aussi son « IA qui code »

Dans la lignée du passage de GitHub Copilot en phase commerciale, CodeWhisperer, son concurrent made…

3 jours ago