Yahoo! : une vulnérabilité découverte vaut 12,50 dollars

Le par  |  7 commentaire(s)
Yahoo_Logo

Le Bug Bounty Program de Yahoo! est à la limite de l'indécence pour les chercheurs en sécurité. À peine 12,50 $ pour une faille grave permettant la compromission d'un compte email. Et encore, à dépenser dans la boutique en ligne de Yahoo!.

Des groupes comme Google, Facebook, PayPal ou encore Mozilla et depuis peu Microsoft mais bien d'autres encore n'hésitent pas à glisser quelques milliers de dollars pour la découverte et le rapport d'une vulnérabilité de sécurité.

Casquette-YahooCelle-ci doit être suffisamment détaillée et de nature critique pour permettre à un chercheur en sécurité tiers d'obtenir d'obtenir une rémunération. De telles initiatives permettent d'entretenir un lien avec la communauté de la sécurité et qui sait, éviter que certains ne soient tentés par des chemins plus obscurs.

Jusqu'à présent, Yahoo! n'a pas réellement évoqué un Bug Bounty Program même s'il est possible de rapporter des failles. La société de sécurité High-Tech Bridge a vite perdu toute motivation pour trouver et signaler des vulnérabilités dans les services de Yahoo!.

High-Tech Bridge a identifié quatre vulnérabilités de type XSS dans des domaines de Yahoo!. Un premier rapport a rapidement été pris en compte par Yahoo! - en moins de 24 heures - mais la faille en question était déjà connue. Pour les trois autres failles, Yahoo! a répondu en 48 heures pour deux d'entre elles et avec une récompense à la clé.

Rien de mirifique puisque Yahoo! a proposé 12,50 dollars par faille. Qui plus est, une somme à débourser sur la boutique en ligne de Yahoo!. De quoi s'acheter par exemple un T-shirt ou une casquette portant la marque Yahoo!.

À titre de comparaison, les récompenses vont de 100 $ à 20 000 $ en fonction de la dangerosité d'une faille rapportée pour un service Web de Google. Pour une faille XSS, cela va de 100 $ à 7 500 $.

High-Tech Bridge a vécu l'expérience comme une mauvaise plaisanterie en soulignant que les vulnérabilités découvertes permettaient la compromission de n'importe quel compte email @yahoo.com en envoyant un lien spécialement conçu à un utilisateur connecté.

La bonne nouvelle est que toutes les failles ont été corrigées. Par contre, Yahoo! ne pourra plus compter à l'avenir sur l'aide de High-Tech Bridge. Certes, l'argent ne peut et ne doit pas être la seule motivation des chercheurs en sécurité mais il ne faut pas non plus donner l'impression que l'on se moque d'eux.

" Si Yahoo! ne peut pas se permettre de dépenser de l'argent pour sa sécurité d'entreprise, il devrait au moins essayer d'attirer les chercheurs en sécurité par d'autres moyens. Autrement, aucun des utilisateurs de Yahoo! ne pourra jamais se sentir en sécurité "

, déclare le PDG de High-Tech Bridge.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1508282
C'est pitoyable de radinerie

Le #1508332
lollll

Arrêtez de perdre votre temps chez yahou
Le #1508622
Zon les plus jolis smiley par defaut. Rien de commun avec les ignobles smiley MSN.
Le #1508682
Vous vous rendez pas compte que c'est 30% du budget sécu Yahoo tout ça!
Le #1508802
C'est ballot, j'y ai mon mail officiel

'fin bon, il sert pas souvent et rien de bien sensible dans mes mails de toute manière
Le #1508842
Hahahahaha, euh c'est une blague?
Le #1510162
Faut les comprendre chez yahou aussi, mettre les choses en perspectives. Si ça se trouve le pdg, qui gagne le plus chez yahou aurait été recruté dans un champs de riz et est payé 20 centimes de l'heure.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]