Et un de plus. Le très célèbre Massachusetts Institute of Technology (MIT) a franchi le Rubicon des bug bounty en lançant son programme en test. Le périmètre de jeu des hackers est limité à quelques domaines : https://student.mit.edu, https://atlas.mit.edu, https://learning-modules.mit.edu et https://bounty.mit.edu.
Un terrain néanmoins propice à plusieurs options d’attaques autorisées comme l’exécution de code à distance, des injections SQL, des élévations de privilèges, des cross-scripting, etc. Par contre, interdiction de s’aventurer avec des attaques en déni de service, de l’ingénierie sociale ou des exploits physiques sur le réseau, etc.
En version expérimentale, le bug bounty du MIT ne s’adresse qu’aux personnes qualifiées et identifiées. C’est-à-dire principalement aux chercheurs et enseignants présents sur le campus. Pas d’éléments extérieurs donc dans un premier temps, l’établissement supérieur se réserve la possibilité d’étendre son programme à d’autres intervenants lors d’une prochaine session.
Côté récompense, il ne faut pas s’attendre à des primes sonnantes et trébuchantes, le MIT accordera des crédits sur TechCash (système de paiement propre à l’établissement). Sans toutefois préciser les montants versés en fonction des vulnérabilités découvertes.
Le MIT rejoint donc la liste des structures ayant mis en place des programmes de recherche de vulnérabilités. Compagnies aériennes, constructeurs automobiles, compagnie de voitures avec chauffeur, Pentagone… : la chasse aux failles touche désormais de nombreux secteurs. L’objectif est de trouver des brèches dans les sites et les colmater avant que des personnes malveillantes ne les dénichent et les utilisent. Si quelques sociétés récompensent les chercheurs avec de l’argent, la plupart propose des dédommagements comme des points de fidélité dans le cas d’une compagnie aérienne. D’autres déléguent leurs recherches de bugs à des sociétés spécialisées dans la création de bug bounty. Les chercheurs se voient ainsi attribuer des points et peuvent se classer parmi les meilleurs chasseurs de bugs.
A lire aussi :
Le Bug Bounty du siècle : hackez le Pentagone
Bounty Factory : la recherche de bugs made in Europe est née
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…