La nouvelle version du programme inclut des règles claires et de nouvelles caractéristiques
Dans le meilleur des mondes, aucun logiciel ne serait vulnérable. Pas de failles. Pas de bugs. Inattaquable. Mais dans ce monde, il y a toujours des failles, même dans les entreprises de cybersécurité. Et si on ne les corrige pas, il peut y avoir danger. C’est pour cela que la responsable de la sécurité des systèmes d’information d’Avast, Jaya Baloo, a repensé le programme de chasse aux bugs d’Avast (bug bounty) : nouveau look, nouvelles règles et un nouveau Hall of Fame pour gentils pirates.
Elle explique : « On ne peut pas tout trouver soi-même. Dans l’idéal, on veut un logiciel infaillible, qui fonctionne parfaitement dès les premiers tests. Mais ce n’est pas toujours possible. Nous ne sommes pas parfaits ».
Les règles de la chasse aux bugs sont simples : vous devez envoyer un rapport avec la description du bug, son emplacement et son éventuel code. La prime sera accordée à la première soumission complète et reproductible. Les primes sont comprises entre 400 et plusieurs milliers de dollars, selon la gravité du bug. Par contre, si vous essayez d’exploiter le bug ou le rendez public, vous n’aurez pas de prime.
« Le programme de chasse aux bugs repose sur le pouvoir de la communauté », affirme Jaya Baloo. « Récompenser un chercheur en sécurité qui détecte une faille et nous la signale me semble tout à fait normal. »
Les failles repérées dans des produits utilisés mais non conçus par Avast ne sont pas éligibles à une prime. Vous pouvez toutefois les signaler au Programme coordonné de divulgation des vulnérabilités. Vulnérabilités prises en compte :
- Exécution de code à distance
- Élévation de privilège
- Déni de service (DoS)
- Contournement de fonctionnalités de sécurité
Pour en savoir plus sur chacune de ces vulnérabilités, consultez les règles de la chasse aux bugs.
Jaya Baloo a aussi créé le Hall of Fame pour gentils pirates pour remercier publiquement les hackers éthiques qui aident Avast à sécuriser à la fois ses produits et son site (les chasseurs de bug pouvant également conserver leur anonymat).
« L’idée est de rendre à César ce qui appartient à César », explique-t-elle. « Nous essayons de rendre le monde plus sûr et si on nous aide, nous tenons à faire preuve de reconnaissance. »
Jaya Baloo a voulu changer l’interface du site car les « chasseurs de bug sont cool et ce qu’ils font est vraiment important ». C’est pour cela qu’on y trouve des images de Star Wars et de The Mandalorian, en hommage aux grands chasseurs de primes de la culture geek.
Jaya Baloo explique : « Cette chasse aux bugs est une longue tradition nerd. C’est encore mieux que le programme Discovery. »
Le nouveau programme d’Avast vise non seulement à sécuriser son site et ses produits, mais aussi à sécuriser la vie de tous les internautes. Et pour cela, nous avons besoin de votre aide.
« Dites-nous ce que vous trouvez. Nous vous en serons très, très reconnaissants. »