Des groupes comme Google, Facebook, PayPal ou encore Mozilla et depuis peu Microsoft mais bien d'autres encore n'hésitent pas à glisser quelques milliers de dollars pour la découverte et le rapport d'une vulnérabilité de sécurité.

Casquette-Yahoo Celle-ci doit être suffisamment détaillée et de nature critique pour permettre à un chercheur en sécurité tiers d'obtenir d'obtenir une rémunération. De telles initiatives permettent d'entretenir un lien avec la communauté de la sécurité et qui sait, éviter que certains ne soient tentés par des chemins plus obscurs.

Jusqu'à présent, Yahoo! n'a pas réellement évoqué un Bug Bounty Program même s'il est possible de rapporter des failles. La société de sécurité High-Tech Bridge a vite perdu toute motivation pour trouver et signaler des vulnérabilités dans les services de Yahoo!.

High-Tech Bridge a identifié quatre vulnérabilités de type XSS dans des domaines de Yahoo!. Un premier rapport a rapidement été pris en compte par Yahoo! - en moins de 24 heures - mais la faille en question était déjà connue. Pour les trois autres failles, Yahoo! a répondu en 48 heures pour deux d'entre elles et avec une récompense à la clé.

Rien de mirifique puisque Yahoo! a proposé 12,50 dollars par faille. Qui plus est, une somme à débourser sur la boutique en ligne de Yahoo!. De quoi s'acheter par exemple un T-shirt ou une casquette portant la marque Yahoo!.

À titre de comparaison, les récompenses vont de 100 $ à 20 000 $ en fonction de la dangerosité d'une faille rapportée pour un service Web de Google. Pour une faille XSS, cela va de 100 $ à 7 500 $.

High-Tech Bridge a vécu l'expérience comme une mauvaise plaisanterie en soulignant que les vulnérabilités découvertes permettaient la compromission de n'importe quel compte email @yahoo.com en envoyant un lien spécialement conçu à un utilisateur connecté.

La bonne nouvelle est que toutes les failles ont été corrigées. Par contre, Yahoo! ne pourra plus compter à l'avenir sur l'aide de High-Tech Bridge. Certes, l'argent ne peut et ne doit pas être la seule motivation des chercheurs en sécurité mais il ne faut pas non plus donner l'impression que l'on se moque d'eux.

" Si Yahoo! ne peut pas se permettre de dépenser de l'argent pour sa sécurité d'entreprise, il devrait au moins essayer d'attirer les chercheurs en sécurité par d'autres moyens. Autrement, aucun des utilisateurs de Yahoo! ne pourra jamais se sentir en sécurité "

, déclare le PDG de High-Tech Bridge.