26 programmes Bug Bounty des plus grandes entreprises technologiques du monde

Un programme de primes de bogues aide les sites Web, les services et les organisations à trouver des problèmes (bogues et vulnérabilités) dans leurs offres.

Mais, comment cela se passe-t-il ? Qu’est-ce que c’est? Pourquoi les organisations en ont-elles ?

Ici, nous en discuterons, ainsi qu’une liste de plates-formes de primes de bogues construites par certaines des plus grandes entreprises technologiques du monde.

Qu’est-ce qu’un programme Bug Bounty ?

Un programme de primes aux bogues récompense les chercheurs indépendants et les hackers éthiques lorsqu’ils trouvent un bogue ou une faille de sécurité dans un service/site Web.

Un programme de primes aux bogues est un endroit idéal pour les chercheurs en sécurité ou les pirates informatiques pour mettre leurs compétences à l’épreuve. Cela donne l’impression d’une compétition publique et d’une course pour l’argent avec vos compétences.

Selon vos activités, cela pourrait devenir un emploi à temps plein pour vous. Et, pour certains, cela peut être un concert parallèle enrichissant.

Généralement, ces plateformes offrent d’énormes prix si vous signalez un problème grave dans leur service.

Il est également important de noter qu’il existe deux plates-formes différentes de primes de bogues. Certaines entreprises préfèrent construire leur plate-forme, tandis que d’autres utilisent des plates-formes de primes de bogues tierces existantes pour ajouter des objectifs/tâches pour la récompense mentionnée.

Cependant, certains ont un ensemble d’exigences minimales pour qu’un rapport soit admissible. Ainsi, tous les bugs que vous signalez ne vous rapporteront pas de récompenses.

Il serait utile que vous parcouriez les règles ou les directives d’un programme de primes de bogues avant de décider d’y investir du temps.

Pourquoi les organisations ont-elles des plateformes de Bug Bounty ?

Vous savez maintenant qu’un programme de primes aux bogues permet à toute organisation d’impliquer des chercheurs en sécurité indépendants (ou des professionnels qu’elle n’emploie pas directement) pour trouver des bogues et des vulnérabilités dans leur produit/site Web.

Mais pourquoi un programme de primes aux bogues est-il nécessaire pour les grandes entreprises ?

N’ont-ils pas déjà des employés qualifiés qui améliorent constamment le service ?

Techniquement, oui. Mais l’objectif de la création d’une plate-forme de primes de bogues est de faire en sorte que davantage de chercheurs en sécurité auditent ou testent leur service (gratuitement).

Exactement.

Toute la communauté des hackers éthiques et des chercheurs teste leurs services et leur fait part de leurs commentaires via des rapports.

Ils n’ont pas à payer de frais initiaux pour leur travail.

L’entreprise ne verse une récompense (souvent lucrative) que lorsqu’un individu soumet un rapport de bogue ou de sécurité valide.

Dans l’ensemble, un programme de primes aux bogues est rentable pour les entreprises pour améliorer leur produit, et il est tout aussi gratifiant pour les pirates éthiques et les chercheurs.

C’est donc un scénario gagnant-gagnant.

Les plus gros programmes Bug Bounty

Il existe d’innombrables programmes de primes de bugs à travers le monde. Ici, nous nous en tenons à certains des programmes les plus importants disponibles.

Notez que chaque programme a des règles d’éligibilité et de récompenses différentes. Certains offrent des récompenses et une reconnaissance pour les problèmes logiciels, et d’autres pour le matériel. Assurez-vous donc de vérifier les critères d’éligibilité, les règles de rapport de qualification et le type de vulnérabilités éligibles pour le prix.

Prime de sécurité Apple

Prime de sécurité Apple est l’une des plus grandes plateformes pour les hackers éthiques. Il offre des récompenses allant jusqu’à 1 000 000 $ (un million de dollars) pour divers problèmes de sécurité sur iCloud et ses smartphones.

Pas seulement limité au prix de récompense, mais s’impliquer avec Apple tout en ayant un rapport réussi devrait vous donner une bonne reconnaissance publique pour votre travail.

Ils font également correspondre les primes à quelques organismes de bienfaisance admissibles, ce qui est bien.

Meta, anciennement Facebook, a également son programme de primes aux bogues, alias Chapeau blanc.

L’argent de la récompense peut aller jusqu’à 45 000 $. Selon la gravité du bogue, le prix en argent peut être beaucoup plus (ou beaucoup moins).

Meta publie publiquement le nom de tous les chercheurs en sécurité pour les remercier. Vous pouvez trouver des crédits aux chercheurs depuis 2011 et avant.

En plus de cela, ils proposent également un programme de fidélité qui vous aide à multiplier vos récompenses (jusqu’à 20%) et à gagner des voyages/voyages sponsorisés pour des événements de hackers par Meta.

Chasseurs de bogues par Google

Programme de primes Bug Hunters vous permet de signaler des problèmes sur plusieurs domaines/services par Google (YouTube, Blogger, etc.)

Les récompenses peuvent aller jusqu’à 30 000 $ et plus pour des rapports spéciaux.

Ils disposent également d’un plate-forme d’apprentissage où vous pouvez vous inspirer/cibler des exemples existants et apprendre au fur et à mesure.

Prime de bogue Microsoft

Programme Microsoft Bug Bounty offre de nombreuses opportunités de contribuer et d’être reconnu pour votre travail.

Les récompenses peuvent aller jusqu’à 1 million de dollars ou plus selon la gravité et le type de rapport.

Prime de bogue de sécurité Mozilla

Le programme de sécurité de Mozilla est une plateforme passionnante pour les chercheurs. Bien qu’ils ne divulguent pas publiquement les attentes en matière de prix, vous obtenez votre nom dans une liste du Temple de la renommée.

Twitter

Contrairement à d’autres, Twitter utilise une plate-forme tierce de primes de bogues pour permettre aux chercheurs de se joindre. La prime minimale commence à 280 $ et peut aller jusqu’à 20 000 $.

Il comprend également un temple de la renommée sur le Plateforme Hacker One pour remercier les chercheurs éligibles.

Uber

Le programme de primes aux bugs d’Uber s’appuie également sur HackerOne, où vous pouvez obtenir jusqu’à 15 000 $ pour des rapports critiques et faire figurer votre nom au Temple de la renommée.

Tesla

Le programme Bug Bounty de Tesla peut être trouvé sur Bugcrowd, encore une autre plate-forme tierce de primes de bogues.

Les récompenses peuvent aller jusqu’à 15 000 $ par vulnérabilité selon les critères d’éligibilité.

Prime de bogue Intel

Le programme de primes de bogues d’Intel est répertorié dans le plateforme d’initiation. C’est une opportunité enrichissante pour les chercheurs de trouver des problèmes de logiciels, de micrologiciels et de matériel Intel.

Les récompenses peuvent aller jusqu’à 100 000 $.

Centre de réponse de sécurité Tencent

Le programme de primes de bugs de Tencent couvre divers actifs tels que WeChat, QQ, le site Web de Tencent, les domaines et plusieurs autres applications qui leur appartiennent.

Les récompenses peuvent ne pas être les plus élevées, allant jusqu’à 3 800 $ pour les divulgations essentielles ; vous obtenez un tableau du Temple de la renommée.

Programme de récompenses Samsung

Programme de récompenses Samsung est le programme Bug Bounty pour les produits mobiles de Samsung.

Considérant que votre rapport est admissible, la récompense peut aller jusqu’à 2 00 000 $ et plus selon la gravité du problème. Bien que vous puissiez le signaler en utilisant son site officielils comptent sur Bugcrowd pour traiter les paiements et contacter le chercheur.

Cisco Meraki

Le produit/l’offre de Cisco qui traite du Wi-Fi, du routage et de la sécurité contrôlés par le cloud et axés sur l’entreprise utilise Foule d’insectes pour son programme de primes aux bogues. Considérant qu’il s’agit d’une offre spécialisée, le travail/les compétences nécessaires pour découvrir les problèmes peuvent être stimulants ou passionnants.

Les récompenses peuvent aller jusqu’à 10 000 $ pour les problèmes graves.

Prime de bogue de Netflix

Le programme Bug Bounty de Netflix peuvent également être trouvés sur Bugcrowd, où ils répertorient tous leurs domaines/services éligibles pour les tests/rapports.

Les récompenses peuvent aller jusqu’à 20 000 $ par vulnérabilité.

Pay Pal

Le programme de primes aux bogues de Paypal utilise la plateforme HackerOne. En outre, une authentification à deux facteurs doit être activée pour pouvoir participer.

Les récompenses peuvent aller jusqu’à 20 000 $ pour les rapports de vulnérabilité critiques.

Prime aux bogues d’Intuit

Intuit, la société à l’origine de produits tels que QuickBooks, TurboTax, Mint, etc., offre la possibilité de soumettre un rapport à l’aide d’un formulaire sur son site officiel et aussi HackerOne.

Avec HackerOne, le programme bug bounty est privé. Vous devrez donc vous connecter à votre compte pour vérifier et participer.

Shopify

Étant l’une des plateformes de commerce électronique les plus populaires, Le programme de primes de bugs de Shopify sur HackerOne peut payer jusqu’à 50 000 $ de récompense pour une vulnérabilité grave.

Alibaba

Le programme BugBounty d’Alibaba couvre la plupart des sites Web/services dont il est propriétaire. Vous pouvez soumettre le rapport de vulnérabilité à partir de son site Web officiel et vous attendre à des récompenses allant jusqu’à 2 500 $.

Nuage de son

L’une des plus grandes plateformes audio ouvertes, Soundcloud offre un Programme de primes de bogue basé sur Bugcrowd avec des récompenses allant jusqu’à 4500 $ en cas de rapports de vulnérabilité graves.

Vous obtiendrez le temple de la renommée habituel avec bugcrowd.

Airbnb

Airbnb offre des récompenses allant jusqu’à 15 000 $ via le Plateforme de primes de bogues HackerOne. Il organise également des promotions pour encourager les pirates à travailler sur de nouvelles vulnérabilités critiques tout en offrant un bonus de 50 %.

Booking.com

Booking.com ne divulgue aucun détail particulier (à l’exception des domaines éligibles) sur HackerOne.

Vous pouvez contacter leur équipe de sécurité via le programme d’assistance à la divulgation de HackerOne.

Xiaomi

Xiaomi utilise HackerOne pour son programme de primes aux bogues. Le programme couvre plusieurs services pour les chercheurs et comprend des récompenses et des bonus spéciaux en plus d’une récompense allant jusqu’à 8 000 $ pour une vulnérabilité critique dans leurs produits commerciaux.

Carré

Square est une application de point de vente disponible pour les smartphones. Pour tout rapport de vulnérabilité grave pour son application / site Web, il offre jusqu’à 5000 $ en récompense via son programme de primes aux bogues sur Bugcrowd.

Nintendo

Le programme Bug Bounty de Nintendo vous permet de trouver des problèmes qui permettent aux joueurs de tricher, de pirater les jeux et d’autres problèmes techniques.

Les récompenses peuvent aller jusqu’à 12 000 $.

Coinbase

Coinbase est une plate-forme d’échange de crypto-monnaie dominante. Il offre une programme de primes aux bogues via HackerOne offrant des récompenses jusqu’à 50 000 $.

Nuageux

Cloudflare offre la plupart des services importants qui aident les entreprises Internet à protéger et à améliorer leurs offres sur le Web. Son programme de primes aux bogues sur HackerOne décrit divers problèmes qu’un chercheur peut rechercher, ainsi que des liens vers toute la documentation nécessaire.

Les récompenses peuvent aller jusqu’à 3 000 $ pour les problèmes graves.

ExpressVPN

Programme de primes de bogues d’ExpressVPN est sans doute le plus grand parmi les autres fournisseurs de services VPN.

En plus des récompenses habituelles allant jusqu’à 2 500 $, il offre également un bonus unique pouvant atteindre 1 00 000 $ si vous êtes le premier à signaler une vulnérabilité d’exécution de code à distance ou quelque chose qui divulgue les adresses IP des clients.

La chasse aux bugs, aux récompenses et à la reconnaissance

Considérant qu’un programme de primes aux bogues offre aux pirates éthiques un terrain de jeu pour tester leurs compétences, cela semble être une bonne idée pour tout chercheur indépendant et l’entreprise d’améliorer leurs offres.

Il est extrêmement important de suivre les règles/directives mentionnées dans le programme de primes de bogues. Si vous ne répondez pas aux critères, vous perdrez du temps et votre rapport ne sera pas admissible à une récompense.

Vous pourriez également être intéressé par les terrains d’entraînement des hackers éthiques.