Reddit va chasser les failles à l'aide d'un programme de bug bounty mené avec HackerOne

Tero Vesalainen / Shutterstock.com

La plateforme de chasse aux failles et le site web communautaire américains ont décidé de rendre public leur programme de primes de bugs.

Trois ans après avoir lancé un programme privé de bug bounty couronné de succès, Reddit a annoncé, cette semaine, sa volonté d'ouvrir au public sa chasse aux bugs menée en collaboration avec la plateforme de hackers éthiques américaine HackerOne. L'idée du site communautaire est de renforcer davantage la sécurisation de la navigation de ses utilisateurs, en attirant de nouveaux spécialistes en cybersécurité.

Reddit, la communauté et le collaboratif avant tout

Par définition et en conformité avec son modèle, Reddit a toujours compté sur sa communauté pour dénicher les bugs de la plateforme. Comme le note Spencer Koch, spécialiste de la sécurité du site, « c'est ainsi que nous avons trouvé plusieurs de nos ingénieurs pour aider à améliorer la sécurité de la plateforme au fil des ans ».

Dans son processus de sécurisation, Reddit avait franchi un premier cap en 2018, en officialisant son programme de bug bounty privé. Et ces dernières années, le réseau social a élargi la portée du programme, en offrant notamment des primes de plus en plus élevées à ses hackers éthiques.

À force que la plateforme se développe, recruter de nouveaux hackers éthiques aux compétences complémentaires est devenu de plus en plus important, de façon à élargir le périmètre de surveillance du site, pour le protéger encore mieux des hackers qui exploiteraient des failles potentielles encore non-découvertes.

Des centaines de rapports de vulnérabilité déjà transmis

Le lancement de ce programme de bug bounty public constitue donc, pour Spencer Koch, « l'évolution naturelle des choses. Nous devions ouvrir le programme pour obtenir suffisamment de chercheurs afin de couvrir l'ensemble de Reddit. Et ne pas manquer ainsi les compétences uniques que chaque hacker est en mesure d'apporter ».

Reddit mise donc plus que jamais sur l'approche collaborative pour réduire la surface d'attaque et renforcer sa sécurité. Aujourd'hui, la plateforme profite pleinement des avantages du bug bounty, et a pu voir remonter différentes vulnérabilités, de mauvaise configuration Cloud par exemple, de business logic ou XSS.

Les hackers éthiques qui, vous l'aurez compris, testent les systèmes d'information de leurs clients à la recherche de failles pour toucher des primes à la vulnérabilité découverte, aident Reddit à mettre en place les meilleurs garde-fous pour aider les développeurs à améliorer la détection précoce, avant que les failles n'atteignent la production. Pour l'heure, 300 rapports de vulnérabilité ont été émis, pour 140 000 dollars de primes.

Modifié le 19/04/2021 à 09h31
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
1

Actualités récentes

WD Blue 1 To : boostez votre PC avec ce SSD M.2 à moins de 100€ sur Amazon
Cette double clé USB SanDisk Ultra 256 Go est vraiment pas chère sur Amazon
Android : Oppo envisagerait de proposer 4 années de mise à jour
Test de Subnautica Below Zero : la profondeur des grands jeux
Kodi 19.1 est dispo : des correctifs à gogo, de la vidéo au réseau
Un Porsche Macan tout électrique à venir, à côté d'un nouveau modèle thermique
Sony WF-1000XM3 : le top des écouteurs sans fil au meilleur prix sur Amazon
Faux avis Amazon : la firme bannit les produits Aukey de son catalogue
Smartphone pas cher : le Xiaomi Redmi 9A passe à moins de 100€ sur Amazon
Intel lance officiellement sa 11e génération de processeurs mobiles
Haut de page