Reddit va chasser les failles à l'aide d'un programme de bug bounty mené avec HackerOne

17 avril 2021 à 09h40
0
Reddit © Tero Vesalainen / Shutterstock.com
Tero Vesalainen / Shutterstock.com

La plateforme de chasse aux failles et le site web communautaire américains ont décidé de rendre public leur programme de primes de bugs.

Trois ans après avoir lancé un programme privé de bug bounty couronné de succès, Reddit a annoncé, cette semaine, sa volonté d'ouvrir au public sa chasse aux bugs menée en collaboration avec la plateforme de hackers éthiques américaine HackerOne. L'idée du site communautaire est de renforcer davantage la sécurisation de la navigation de ses utilisateurs, en attirant de nouveaux spécialistes en cybersécurité.

Reddit, la communauté et le collaboratif avant tout

Par définition et en conformité avec son modèle, Reddit a toujours compté sur sa communauté pour dénicher les bugs de la plateforme. Comme le note Spencer Koch, spécialiste de la sécurité du site, « c'est ainsi que nous avons trouvé plusieurs de nos ingénieurs pour aider à améliorer la sécurité de la plateforme au fil des ans ».

Dans son processus de sécurisation, Reddit avait franchi un premier cap en 2018, en officialisant son programme de bug bounty privé. Et ces dernières années, le réseau social a élargi la portée du programme, en offrant notamment des primes de plus en plus élevées à ses hackers éthiques.

À force que la plateforme se développe, recruter de nouveaux hackers éthiques aux compétences complémentaires est devenu de plus en plus important, de façon à élargir le périmètre de surveillance du site, pour le protéger encore mieux des hackers qui exploiteraient des failles potentielles encore non-découvertes.

Des centaines de rapports de vulnérabilité déjà transmis

Le lancement de ce programme de bug bounty public constitue donc, pour Spencer Koch, « l'évolution naturelle des choses. Nous devions ouvrir le programme pour obtenir suffisamment de chercheurs afin de couvrir l'ensemble de Reddit. Et ne pas manquer ainsi les compétences uniques que chaque hacker est en mesure d'apporter ».

Reddit mise donc plus que jamais sur l'approche collaborative pour réduire la surface d'attaque et renforcer sa sécurité. Aujourd'hui, la plateforme profite pleinement des avantages du bug bounty, et a pu voir remonter différentes vulnérabilités, de mauvaise configuration Cloud par exemple, de business logic ou XSS.

Les hackers éthiques qui, vous l'aurez compris, testent les systèmes d'information de leurs clients à la recherche de failles pour toucher des primes à la vulnérabilité découverte, aident Reddit à mettre en place les meilleurs garde-fous pour aider les développeurs à améliorer la détection précoce, avant que les failles n'atteignent la production. Pour l'heure, 300 rapports de vulnérabilité ont été émis, pour 140 000 dollars de primes.

Modifié le 19/04/2021 à 09h31
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
1

Lectures liées

Bon plan CyberGhost : une promo vraiment intéressante pour un VPN au top !
Sécurité : quelles sont les attaques les plus rentables pour les pirates, comment s'en protéger ?
Norton, Bitdefender ou Avast : quelle est la meilleure offre antivirus du moment ?
Surfshark se prépare au black friday avec une offre déjà à prix cassé !
Acer se fait voler les données de millions de clients
Cybersécurité : une attaque DDoS d'envergure a frappé le service Cloud Microsoft Azure
Selon Apple, il y aurait près de 50 fois plus de malwares sur Android que sur iPhone
Une vulnérabilité d'OpenSea a permis à des hackers de voler les portefeuilles de crypto-monnaies des utilisateurs
Bon plan Avast Ultimate : un antivirus abordable et complet à -60%
Les campagnes de phishing utilisent un nouvel outil pour éviter la détection : les symboles mathématiques
Haut de page