216 dollars au minimum, sans plafond : c’est la récompense promise par Dropbox à ceux qui dénicheront des failles de sécurité dans ses produits.
Comme Amazon, Facebook, Google, Microsoft, Mozilla ou encore Yahoo, le spécialiste américain du stockage en ligne s’ouvre à la communauté des chercheurs en sécurité informatique dans le cadre d’un programme « Bug Bounty » à durée indéterminée.
Lancée avec le concours de HackerOne, cette initiative s’inscrit comme un complément aux travaux menés jusqu’alors en interne et avec des sociétés partenaires.
Elle ne concerne pour le moment que certaines applications : en l’occurrence Dropbox (versions Web et mobiles, clients de synchronisation, Core SDK), ainsi que la visionneuse de galeries Carousel et le gestionnaire de messagerie électronique Mailbox (iOS, Android, Web).
Dropbox se réserve néanmoins le droit d’accorder un cachet à quiconque mettrait en lumière des vulnérabilités « particulièrement novatrices ou critiques » dans d’autres services de l’écosystème tels Pixelapse, MobileSpan et Readmill.
Ce « Bug Bounty » est par ailleurs rétroactif : un peu plus de 10 000 dollars ont été distribués à des hackers qui avaient communiqué des vulnérabilités via l’interface en place jusqu’alors.
Le montant des récompenses varie selon la nature et la criticité des brèches découvertes. Mais aussi en fonction de la documentation fournie ou encore de la reproductibilité des bugs. Sachant que certaines manipulations sont formellement proscrites : accéder à des données d’utilisateurs sans leur accord, perturber Dropbox en lançant une attaque par déni de service…
Certains scénarios ne sont pas éligibles à récompenses (voir la liste) : problèmes avec des logiciels ou protocoles hors de contrôle de Dropbox, failles de type inter-script sur d’autres sites que dropbox.com, ingénierie sociale sur des employés ou partenaires de l’entreprise, etc.
On notera que Dropbox est, aux côtés d’Open Technology Fund et de Google, membre fondateur de Simply Secure. Dédiée à la simplification des solutions de sécurité informatique, cette entité s’appuie sur la communauté open source pour créer des outils maîtrisables sans avoir besoin de connaissances techniques.
Crédit photo : Wichy – Shutterstock.com
Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…
Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…