Audit : PayPal rétribue les chercheurs pour lutter contre les failles
- PayPal lance un programme de récompense destiné à rétribuer les chercheurs lui remontant des failles de sécurité : ces derniers seront ainsi rémunérés au titre du « bug bounty program » s’ils signalent des vulnérabilités.
- Cette démarche se base sur un dispositif de reporting préexistant qui ne prévoyait alors pas de rémunération ; contraint de constater que l’appât du gain est un facteur incitatif, PayPal s’est décidé à le mettre à jour en ce sens. Les remontées seront classées sous quatre catégories (XSS, CSRF, injection SQL et contournement des accès).
- Les montants des primes sont définis au cas par cas, selon la criticité de la faille et versés sur le compte PayPal du chercheur concerné.
Source : PayPal Blog
- Cette méthode reposant sur le savoir-faire d’éléments extérieurs, souvent en quête de reconnaissance, est déjà employée par des acteurs de taille tels que Google, Mozilla, Samsung, ou bien encore, plus récemment, Facebook (voir l’Observatoire de janvier 2012). Pour l’heure, PayPal, encouragé par les résultats positifs de ses prédécesseurs, est la seule société exclusivement positionnée sur le secteur des paiements à proposer de pareilles primes. Le principe est simple : la rétribution est soumise à conditions et les gains ne sont perçus que si la remontée est réalisée proprement, sans impacter la réputation ou le service de l’acteur en question.
- Ces programmes, coûteux à maintenir, ne peuvent néanmoins être mis en œuvre que par des acteurs de grande envergure. Compte tenu de leur visibilité et au regard de l’actualité, il est probable que nombre d’entre eux bénéficierait de retours ainsi recueillis.