Et un de plus. Le très célèbre Massachusetts Institute of Technology (MIT) a franchi le Rubicon des bug bounty en lançant son programme en test. Le périmètre de jeu des hackers est limité à quelques domaines : https://student.mit.edu, https://atlas.mit.edu, https://learning-modules.mit.edu et https://bounty.mit.edu.
Un terrain néanmoins propice à plusieurs options d’attaques autorisées comme l’exécution de code à distance, des injections SQL, des élévations de privilèges, des cross-scripting, etc. Par contre, interdiction de s’aventurer avec des attaques en déni de service, de l’ingénierie sociale ou des exploits physiques sur le réseau, etc.
En version expérimentale, le bug bounty du MIT ne s’adresse qu’aux personnes qualifiées et identifiées. C’est-à-dire principalement aux chercheurs et enseignants présents sur le campus. Pas d’éléments extérieurs donc dans un premier temps, l’établissement supérieur se réserve la possibilité d’étendre son programme à d’autres intervenants lors d’une prochaine session.
Côté récompense, il ne faut pas s’attendre à des primes sonnantes et trébuchantes, le MIT accordera des crédits sur TechCash (système de paiement propre à l’établissement). Sans toutefois préciser les montants versés en fonction des vulnérabilités découvertes.
Le MIT rejoint donc la liste des structures ayant mis en place des programmes de recherche de vulnérabilités. Compagnies aériennes, constructeurs automobiles, compagnie de voitures avec chauffeur, Pentagone… : la chasse aux failles touche désormais de nombreux secteurs. L’objectif est de trouver des brèches dans les sites et les colmater avant que des personnes malveillantes ne les dénichent et les utilisent. Si quelques sociétés récompensent les chercheurs avec de l’argent, la plupart propose des dédommagements comme des points de fidélité dans le cas d’une compagnie aérienne. D’autres déléguent leurs recherches de bugs à des sociétés spécialisées dans la création de bug bounty. Les chercheurs se voient ainsi attribuer des points et peuvent se classer parmi les meilleurs chasseurs de bugs.
A lire aussi :
Le Bug Bounty du siècle : hackez le Pentagone
Bounty Factory : la recherche de bugs made in Europe est née
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.