En avril 2021, plusieurs programmes de bug bounty ont été lancés, offrant aux chercheurs en sécurité des opportunités pour identifier et signaler des vulnérabilités. Voici une sélection des programmes les plus notables de ce mois :
1. Avalanche Protocol
- Fournisseur du programme : HackenProof
- Type de programme : Bug bounty public
- Récompense maximale : 10 000 $
- Description : Avalanche est une plateforme open source dédiée au déploiement d’applications décentralisées et de réseaux blockchain personnalisés. Le programme invite les chercheurs à examiner des technologies telles que le portefeuille Avalanche et les API publiques pour y déceler des vulnérabilités.
- Remarques : Un programme général distinct est également disponible, offrant des récompenses pour les failles découvertes sur divers actifs web.
2. BlockFi
- Fournisseur du programme : HackerOne
- Type de programme : Bug bounty public
- Récompense maximale : 3 000 $
- Description : BlockFi propose des services financiers liés aux cryptomonnaies, tels que des comptes d’épargne, des prêts et des plateformes de trading. Le programme de bug bounty vise à renforcer la sécurité de ses applications web et mobiles.
- Remarques : Les détails spécifiques sur les cibles et les vulnérabilités recherchées sont limités, mais l’entreprise exprime son engagement à collaborer avec la communauté de la sécurité pour protéger ses utilisateurs.
3. Mattermost
- Fournisseur du programme : HackerOne
- Type de programme : Bug bounty public
- Récompense maximale : 2 000 $
- Description : Mattermost est un outil de collaboration open source destiné aux développeurs. Le programme encourage la recherche de vulnérabilités telles que les failles XSS, CSRF, SSRF, les attaques par déni de service et les divulgations d’informations sensibles.
- Remarques : Les participants doivent activer l’authentification à deux facteurs pour participer au programme.
4. Microsoft Applications Bounty Program
- Fournisseur du programme : Microsoft
- Type de programme : Bug bounty public
- Récompense maximale : 30 000 $
- Description : Ce programme est dédié aux applications Microsoft 365, avec un focus initial sur la version desktop de Microsoft Teams. Les chercheurs sont invités à identifier des vulnérabilités potentielles pour améliorer la sécurité des utilisateurs.
- Remarques : Ce programme offre une récompense maximale plus élevée que le programme de services en ligne de Microsoft, qui plafonne à 20 000 $.
5. Sovryn
- Fournisseur du programme : Immunefi
- Type de programme : Bug bounty public
- Récompense maximale : 1 250 000 $
- Description : Sovryn est une plateforme financière décentralisée opérant sur la blockchain Bitcoin. Le programme de bug bounty offre une récompense substantielle pour la découverte de failles critiques dans les smart contracts de Sovryn, reflétant l’importance de la sécurité dans les applications financières décentralisées.
- Remarques : Les chercheurs peuvent également recevoir jusqu’à 22 000 $ pour des vulnérabilités trouvées sur les sites web et les applications web de l’entreprise.
Ces programmes illustrent l’engagement croissant des entreprises technologiques à collaborer avec la communauté des chercheurs en sécurité pour renforcer la protection de leurs systèmes et de leurs utilisateurs.
Sources :
Bug Bounty Radar // The latest bug bounty programs for April 2021