Évoqué à de multiples reprises dans nos colonnes, un programme dit de Bug Bounty consiste à rétribuer des chercheurs en sécurité pour leurs trouvailles dûment rapportées en matière de vulnérabilités. Le projet Tor va lancer en ce début d'année son premier programme du genre.
La forme et le montant des récompenses ne sont pas encore connus pour cette initiative qui sera d'abord ouverte sur invitation. Elle couvrira toutes les applications en relation avec le réseau d'anonymisation et sera parrainée par l'Open Technology Fund qui s'est rapprochée de la plateforme HackerOne.
À Motherboard, Nick Mathewson, cofondateur et architecte en chef du projet Tor, a exprimé sa reconnaissance à l'encontre des personnes qui ont " examiné notre code au fil des ans ". " Le seul moyen de continuer à l'améliorer est d'avoir davantage de personnes impliquées. […] Ce programme encouragera des personnes à regarder notre code, y trouver des failles et nous aider à l'améliorer. "
Reste qu'en matière d'encouragement… certains ne seront pas forcément tentés de se tourner vers le programme de Bug Bounty du projet Tor. Zerodium propose par exemple jusqu'à 30 000 dollars pour un exploit affectant le navigateur Tor, et avec très peu de chance qu'il soit communiqué au projet Tor.
On se souviendra également que le projet Tor a accusé le FBI d'avoir payé un million de dollars l'université Carnegie Mellon pour compromettre la technologie du réseau d'anonymisation. Des accusations qui ont été réfutées par l'université.
N'oublions pas également que la Russie avait lancé un appel d'offres pour " étudier la possibilité d'obtenir des informations techniques sur des utilisateurs et sur le réseau d'anonymisation Tor ". Le contrat à 3,9 millions de roubles décroché par le Central Research Institute of Economics, Informatics and Control Systems a toutefois pris l'eau.
