Faut-il y voir une concordance des temps ? Hier, nous nous faisions l’écho des Anonymous débranchant 20% du Dark Web en s’attaquant à l’hébergeur Free Hosting II. Le collectif de pirates a réussi à bloquer plus de 10 000 sites en .onion, les défacer et voler la base de données. Un exploit qui a donné matière à réflexion à plusieurs autres places de marché de la face cachée du Web.
Parmi elles, on retrouve Hansa, un portail où les utilisateurs peuvent acheter et vendre des produits illégaux comme des malwares, des données volées, des armes à feu, des drogues, etc. Or, cette marketplace vient de lancer un programme de recherche de bugs pour contrer les pirates, mais aussi les investigations des autorités judiciaires pour identifier et désanonymiser les propriétaires et les utilisateurs du site.
Ce bug bounty a été lancé la semaine dernière, mais Hansa en a fait la promotion depuis hier sur son site et via un post publié sur Reddit. Selon le message, les administrateurs de Hansa sont disposés à payer jusqu’à 10 bitcoin (soit environ 10 200 dollars). Les autres rétributions sont de 1 bitcoin (environ 1000 dollars) pour un exploit non critique ou des failles pouvant rendre le service hors ligne, ainsi que 0,05 bitcoin (50 dollars) pour de simples bugs d’affichage. Un niveau de récompense similaire à ceux proposés par les acteurs de la Silicon Valley via leur programme officiel de recherche de bugs.
La place de marché fixe comme ses homologues du Web des conditions pour être éligible à une récompense. Les attaquants ne doivent pas provoquer d’interruption de service du site principal. Ils ne doivent pas non plus accéder aux comptes des utilisateurs. La démonstration de bugs n’est valable que sur des comptes tests.
Cette initiative intervient au moment où un magasin du Dark Web, AlphaBay, a payé une rançon à un pirate qui a trouvé une faille, lui permettant de lire plus de 218 000 messages privés contenant des informations sensibles comme les adresses de livraison, des identifiants de portefeuilles de bitcoin et des numéros de suivi de colis.
A lire aussi :
Le Bug Bounty de l’US Army trouve une faiblesse du réseau interne
Sécurité : l’Europe inclut un bug bounty à son audit logiciel
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…