Qu'est-ce qu'une prime de bogue ?
Agence web » Actualités du digital » Qu’est-ce qu’une prime de bogue ?

Qu’est-ce qu’une prime de bogue ?

Vous avez probablement entendu parler des primes de bogue, mais vous ne savez pas ce que c’est. Ici, pour aider à dissiper la confusion, nous avons créé ce guide détaillant tout ce que vous devez savoir sur les programmes de primes de bogues.

Qu’est-ce qu’une prime de bogue ?

Une prime de bogue de sécurité est un type de programme de récompense pour les développeurs de logiciels. Les éditeurs de logiciels et les pirates individuels s’associent pour trouver des bogues dans les applications logicielles avant de les rendre publiques. Chaque prime de bogue est légèrement différente, mais toutes ont des règles définies qui doivent être suivies. Les amateurs sont souvent encouragés à aider, mais il est important de suivre ces règles et la politique de divulgation responsable de chaque programme.

Combien rapporte une prime de bug ?

Cela varie selon les entreprises et les produits, mais en général, le montant le plus bas que vous trouverez sera d’environ 100 $. Seule une poignée d’entreprises offrent environ 1 million de dollars, bien que la plupart des grandes entreprises aient un programme en place avec une offre de 100 000 dollars.

Prime de bogue Microsoft

La meilleure offre de Microsoft est de 300 000 $ pour les rapports de vulnérabilité sur les services cloud Microsoft Azure. La société déboursera également 100 000 $ si vous trouvez des vulnérabilités dans ses services d’identité et jusqu’à 250 000 $ pour les problèmes de sécurité trouvés dans Microsoft Hyper V.

Les vulnérabilités trouvées dans d’autres services Microsoft vous rapporteront généralement entre 15 000 $ et 30 000 $. Les problèmes de sécurité trouvés sur Xbox peuvent vous rapporter 20 000 $, tandis que les problèmes rencontrés sur la version basée sur Chromium de Microsoft Edge peuvent vous rapporter jusqu’à 30 000 $.

Prime aux bogues d’Apple

Apple propose l’une des offres de primes de bogues les plus importantes du marché. La société vous donnera 1 million de dollars si vous parvenez à trouver une vulnérabilité qui permet à quelqu’un de pirater un réseau sans aucune interaction de l’utilisateur. Selon les propres termes de l’entreprise, il doit s’agir d’une « exécution de code du noyau sans clic avec persistance et contournement du PAC du noyau ».

Le plus petit paiement répertorié sur le site actuel d’Apple est de 100 000 $, qu’il déboursera si vous parvenez à trouver des vulnérabilités dans iCloud, à contourner un écran de verrouillage ou à trouver un moyen d’accéder à des données sensibles sans autorisation via une application installée.

Prime de bogue de Google

Google offre de nombreuses récompenses à travers sa vaste gamme de produits.

Pour les vulnérabilités trouvées dans les propriétés Web appartenant à Google, les récompenses vont de 100 $ à 5 000 $. Les paiements pour les vulnérabilités de Chrome sont un peu plus importants, allant de 500 $ à 30 000 $, tandis que les problèmes de sécurité trouvés sur Google Play seront récompensés à hauteur de 500 $ à 20 000 $.

Mais l’argent réel se trouve dans la prime de bogue pour les produits Android sur Pixel. Ce programme paie jusqu’à 1 million de dollars, selon l’exploit découvert. Le gros prix est versé à toute personne capable de pirater la puce Pixel Titan M.

En plus de ce qui précède, il existe quelques subventions disponibles via Google. Ceux-ci sont destinés aux chercheurs en vulnérabilité déjà établis et vont de 1337 $ à 3133 $. Il existe également des paiements disponibles jusqu’à 20 000 $ pour les correctifs proposés sur certains projets open source.

Prime de bogue Facebook

Facebook n’a pas de limite supérieure sur ce qu’il paiera sur les primes de bogue, mais a plutôt un calcul de vulnérabilité qui prend en compte «l’impact, la facilité d’exploitation et la qualité du rapport».

En bref, l’entreprise décide de la valeur de votre vulnérabilité nouvellement découverte. Le montant minimum récompensé est de 500 $, mais une personne a déjà reçu 50 000 $ pour son travail.

Le programme Bug Bounty inclut tous les produits Facebook, vous pouvez donc utiliser le même portail pour soumettre des problèmes liés à Instagram.

Prime de bogue HackerOne

HackerOne est un mix entre plateforme et collectif. Il fournit un portail aux grandes entreprises technologiques et aux pirates informatiques, permettant aux premiers d’annoncer les récompenses monétaires qu’ils peuvent offrir et aux seconds de soumettre des rapports de vulnérabilité.

Il a un bon répertoire des primes de bogues actuelles, qui offrent entre 100 $ et 2 000 $ pour les vulnérabilités.

Il héberge également quelque chose appelé Internet Bug Bounty, qui paiera si vous parvenez à trouver une faille de sécurité dans un logiciel prenant en charge la pile Internet. Par exemple, trouver un problème avec le langage de programmation populaire Python pourrait vous rapporter 500 $ en argent de poche.

★★★★★