Au mois de mai dernier, United Airlines inaugurait son Bounty program, une chasse aux failles informatiques. Mais le terrain de jeu des hackers était limité. Pas question de prendre le contrôle d’un avion, mais plutôt de trouver des vulnérabilités du site officiel de United Airlines, de la version bêta du site mobile, de l’application et du programme de fidélité. Même les méthodes étaient encadrées : pas d’attaques en force brute, par déni de service ou injection de code sur le système de production et, bien évidemment, pas question de tester son exploit sur les systèmes embarqués des avions.
Selon la gravité de la faille trouvée, la compagnie aérienne a trouvé un moyen original de rétribuer les chercheurs de bugs. Elle récompense avec des miles, des points de fidélité qui permettent à partir d’un certain niveau de prendre un vol gratuitement. Pour une vulnérabilité impliquant une exécution du code à distance, United Airlines promet 1 million de miles, un contournement d’authentification donne droit à 250 000 miles et un cross-scripting vaut 50 000 miles. A titre d’exemple, un vol Australie-États-Unis coûte 80 000 miles en classe économique ou 350 000 en première classe.
Des hackers viennent de publier sur leur compte Twitter les premiers versements de primes. Ainsi, Jordan Wiens, un hacker de la société Vector 35, a trouvé deux failles avec exécution de code à distance, sans toutefois donner de détails. Il explique que ces vulnérabilités ont été trouvées un peu par hasard dans une partie du site où il n’était pas sûr que le programme fonctionnait. Après analyse des failles, il empoche 1 million de miles. Dans ses remerciements, il appelle United Airlines à ouvrir un peu plus sa chasse aux bugs et à publier les détails des failles corrigées.
Un australien de Melbourne, Nathaniel Wakelam, a été récompensé de 500 000 miles pour un bug validé. Le chasseur de bugs estime avoir découvert une douzaine de vulnérabilités et reste dans l’attente de leur approbation par la compagnie aérienne. Enfin, un troisième hacker, Neal Poole, a récolté 300 000 miles pour un bug soumis ce mois-ci.
A lire aussi :
Un hacker pirate le vol d’un avion depuis un siège passager
Un expert en sécurité interdit de vol suite à un tweet équivoque
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…