Bug Bounty Radar // Les derniers programmes de bug bounty pour juillet 2022

La chasse aux primes reste une activité populaire, avec un rapport ce mois-ci révélant que la grande majorité des pirates éthiques aimeraient en faire plus.

L’enquête, de la plateforme belge de bug bounty Intigriti, ont constaté que 96 % souhaitaient consacrer plus de temps à la chasse aux primes, les deux tiers la considérant comme une carrière à temps plein. Le plus gros attrait est l’argent, cité par près de la moitié, ainsi que la possibilité de travailler n’importe où dans le monde, la capacité de travailler seul et la possibilité de déjouer les pirates malveillants.

Actuellement, plus de la moitié des chasseurs de primes aux insectes occupent également un emploi à temps plein ailleurs, et environ un tiers sont des étudiants. Plus d’un sur cinq, cependant, tire plus d’un quart de son revenu total des versements de primes.

Et pour ceux qui souhaitent rester coincés, il y a un nouveau programme de primes de bugs sur invitation uniquement pour l’application d’authentification d’identité du gouvernement français, France Identitélancée plus tôt cette année pour compléter les nouvelles cartes d’identité électroniques du pays.

Hébergé par la plateforme de piratage éthique basée à Paris YesWeHack, le programme a recruté à ce jour 30 hackers éthiques, avec des compétences spécifiques liées à l’application, notamment la cryptographie. Il sera éventuellement ouvert à tous et fonctionnera pendant toute la durée de vie de l’application mobile.

Pour terminer, Googles’est montré généreux ces derniers temps, versant plus de 300 000 $ pour des rapports sur une variété de failles dans Google Cloud Platform (GCP) au cours de l’année dernière.

Le chercheur en sécurité Sebastian Lutz a remporté le premier prix, avec un prix de 133 337 $, pour avoir découvert un bogue dans Identity-Aware Proxy (IAP) qui offrait à un attaquant un moyen d’accéder aux ressources protégées par IAP. La deuxième place, quant à elle, est revenue au chercheur hongrois Imre Rad, qui a gagné 73 331 $ après avoir découvert un mécanisme pour prendre en charge une machine virtuelle Google Compute Engine.

Le programme, qui a débuté en 2019, représente désormais une bonne partie du total de 8,7 millions de dollars accordé par Google dans le cadre de sa gamme complète de programmes de divulgation des vulnérabilités.

Les derniers programmes de primes de bugs pour juillet 2022

Le mois dernier a vu l’arrivée de plusieurs nouveaux programmes de primes de bugs. Voici une liste des dernières entrées :

Amis des animaux

Fournisseur de programme :
Indépendant

Type de programme :
Public

Récompense maximale :
400 £ (480 $)

Présenter:
La compagnie britannique d’assurance pour animaux de compagnie Animal Friends a lancé un programme public de primes aux insectes axé sur la sécurisation de ses site Web d’entrepriseportail client, portail vétérinaire et plateforme de vente.

Remarques:
Discutant du nouveau programme, le fournisseur d’assurance a déclaré: « Aucun système n’est jamais parfait, et donc Animal Friends pense que travailler avec des chercheurs en sécurité qualifiés du monde entier est crucial pour identifier et corriger les faiblesses. »

Vérifiez Page de prime de bogue des Amis des animaux pour plus de détails

ClickHouse

Fournisseur de programme :
Foule d’insectes

Type de programme :
Public

Récompense maximale :
2 500 $

Présenter:
ClickHouse est un système de gestion de base de données OLAP open source et orienté colonnes qui permet aux utilisateurs de générer des rapports analytiques à l’aide de requêtes SQL en temps réel.

Remarques:
L’objectif principal du programme public est la version open source de la plateforme ClickHouse.

Vérifiez Page de prime de bogue ClickHouse à Bugcrowd pour plus de détails

France Identité

Fournisseur de programme :
YesWeHack

Type de programme :
Privé

Récompense maximale :
non dévoilé

Présenter:
Le gouvernement français a lancé un programme de primes de bugs sur invitation uniquement pour sa nouvelle application d’authentification d’identité, « France Identité ».

Remarques:
Hébergé par la plateforme de piratage éthique basée à Paris YesWeHack, le programme sera éventuellement ouvert à tous les chercheurs en sécurité, puis fonctionnera pendant toute la durée de vie de l’application mobile.

Consultez notre couverture récente pour plus de détails

Métamasque

Fournisseur de programmes :
HackerOne

Type de programme :
Public

Récompense maximale :
50 000 $

Présenter:
MetaMask, l’un des portefeuilles les plus utilisés pour interagir avec des applications distribuées, a lancé un programme de primes aux bogues offrant des récompenses allant jusqu’à 50 000 $ pour les vulnérabilités critiques.

Remarques:
MetaMask recherche en particulier des rapports démontrant comment un attaquant pourrait extraire la phrase de récupération secrète ou une clé privée d’un portefeuille, ou faire en sorte que le portefeuille d’un utilisateur se comporte de «manières inattendues».

Vérifiez Page de prime de bogue MetaMask à HackerOne pour plus de détails

Opéra

Fournisseur de programmes :
Indépendant

Type de programme :
Privé

Récompense maximale :
non dévoilé

Présenter:
Les développeurs derrière le navigateur web Opera ont lancé un programme privé de primes de bogues pour accompagner le programme public existant qui est hébergé sur la plate-forme Bugcrowd.

Remarques:
Il y a actuellement peu de détails concernant ce programme privé, bien que toute personne manifestant un intérêt doive déjà avoir un identifiant Bugcrowd.

Découvrez Opéra page privée de prime de bogue pour plus de détails

Phemex

Fournisseur de programmes :
Foule d’insectes

Type de programme :
Public

Récompense maximale :
2 500 $

Présenter:
La plateforme de trading de crypto-monnaie Phemex s’est associée à Bugcrowd pour lancer un programme de primes aux bogues.

Remarques:
Les chercheurs ont été chargés de trouver des bogues sur le site Web et les applications mobiles de Phemex. Les exploits de script intersite (XSS) et de déni de service (DoS) sont hors de portée.

Vérifiez Page de prime de bogue Phemex à Bugcrowd pour plus de détails

Autres bug bounty et actualités VDP ce mois-ci

Le 2022 Concours de cybersécurité Coupe du Président devrait être lancé plus tard cet été. Organisé par CISA, le cyber-concours national annuel vise à identifier et à récompenser les meilleurs talents en cybersécurité parmi les cadres fédéraux. L’inscription est maintenant ouverte pour les participants éligibles.
GameStop, Oandaet PlanèteArt ont lancé des VDP (non rémunérés) sur HackerOne.
Le pro de la sécurité Quinten Bowen a lancé un analyse des logiciels malveillants capture-le-drapeau (CTF) compétition. L’inscription est libreet le CTF a des « indicateurs de niveau débutant à intermédiaire » associés à l’analyse statique et dynamique.