Sécurité : OVH lance son premier Bug Bounty
Publié par Jacques Cheminat le | Mis à jour le
L'hébergeur et fournisseur de Cloud, OVH, ouvre son programme de recherche de bugs sur la plateforme européenne, Bountyfactory.io.
OVH a profité de la manifestation la Nuit du Hack, samedi dernier, pour lancer officiellement son programme de recherche de bug. Autrement appelé Bug Bounty aux Etats-Unis, ce programme vise à pousser les experts en sécurité à trouver des failles sur certains programmes ou sites web. Dans son cas OVH a circonscrit la recherche au périmètre de l'API et de Manager, la plateforme de gestion de compte client. La société rappelle en préambule que les participants doivent avoir une bonne connaissance de l'API. « Le langage de programmation utilisé est principalement le Perl avec des appels sur des micros API écrit en Python », précise Vincent Malguy de l'équipe SOC (Security Operation Center) d'OVH.
Comme dans les autres programmes, certaines actions sont interdites. Ainsi, pas question pour les hackers d'utiliser des attaques par déni de service, de s'en prendre physiquement à l'entreprise ou à ses datacenters, de s'appuyer sur de l'ingénierie sociale contre les employés ou les fournisseurs, etc. D'autres techniques sont prohibées, comme les attaques en post scripting ou du clic jacking.
Jusqu'à 10 000 euros de récompense
Pour les meilleurs, OVH promet des récompenses pouvant aller jusqu'à 10 000 euros avec un minimum de 50 euros. Ces sommes sont doublées si le candidat souhait faire don de sa prime à des associations. « Chaque signalement lié à une faille avérée donnera lieu à une récompense financière dans la plupart des cas et parfois sous la forme de goodies ou des vouchers pour des failles en dehors du périmètre », peut-on lire sur le communiqué de la firme roubaisienne. Le programme est évolutif, car il sera étendu à tous les produits de l'hébergeur.
Pour mener ce programme de recherche de bugs, OVH a fait confiance à Bountyfactory.io. La première plateforme européenne de Bug Bounty a vu le jour en janvier dernier grâce à l'initiative de Guillaume Vassault-Houlière et du blogeur Korben. Ce projet vise à fédérer les compétences de spécialistes en sécurité, dans une logique de « crowdsec » (communauté de hackers) et surtout dans un cadre légal (sans risque de poursuites). Un ancrage européen qui a séduit OVH souligne Vincent Malguy. « Le lancement du Bug Bounty est le fruit de plusieurs années de réflexion. C'est l'émergence de la plateforme Bountyfactory.io qui a permis de concrétiser le projet voulu par Octave Klaba. » A noter que la plateforme Bountyfactory.io est hébergée sur l'offre Dedicated Cloud d'OVH.
A lire aussi :
OVH va ouvrir deux datacenters aux Etats-Unis
Villeroy & Boch met un pied dans le Cloud avec OVH