Au mois de mai dernier, United Airlines inaugurait son Bounty program, une chasse aux failles informatiques. Mais le terrain de jeu des hackers était limité. Pas question de prendre le contrôle d’un avion, mais plutôt de trouver des vulnérabilités du site officiel de United Airlines, de la version bêta du site mobile, de l’application et du programme de fidélité. Même les méthodes étaient encadrées : pas d’attaques en force brute, par déni de service ou injection de code sur le système de production et, bien évidemment, pas question de tester son exploit sur les systèmes embarqués des avions.
Selon la gravité de la faille trouvée, la compagnie aérienne a trouvé un moyen original de rétribuer les chercheurs de bugs. Elle récompense avec des miles, des points de fidélité qui permettent à partir d’un certain niveau de prendre un vol gratuitement. Pour une vulnérabilité impliquant une exécution du code à distance, United Airlines promet 1 million de miles, un contournement d’authentification donne droit à 250 000 miles et un cross-scripting vaut 50 000 miles. A titre d’exemple, un vol Australie-États-Unis coûte 80 000 miles en classe économique ou 350 000 en première classe.
Des hackers viennent de publier sur leur compte Twitter les premiers versements de primes. Ainsi, Jordan Wiens, un hacker de la société Vector 35, a trouvé deux failles avec exécution de code à distance, sans toutefois donner de détails. Il explique que ces vulnérabilités ont été trouvées un peu par hasard dans une partie du site où il n’était pas sûr que le programme fonctionnait. Après analyse des failles, il empoche 1 million de miles. Dans ses remerciements, il appelle United Airlines à ouvrir un peu plus sa chasse aux bugs et à publier les détails des failles corrigées.
Un australien de Melbourne, Nathaniel Wakelam, a été récompensé de 500 000 miles pour un bug validé. Le chasseur de bugs estime avoir découvert une douzaine de vulnérabilités et reste dans l’attente de leur approbation par la compagnie aérienne. Enfin, un troisième hacker, Neal Poole, a récolté 300 000 miles pour un bug soumis ce mois-ci.
A lire aussi :
Un hacker pirate le vol d’un avion depuis un siège passager
Un expert en sécurité interdit de vol suite à un tweet équivoque
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…