Publié initialement à : https://korben.info/bug-bounty-legal-aspects.html
Sur YesWeHack, on a lancé un blog, mais en attendant qu’il soit aussi lu que le mien, je vais quand même continuer de m’exprimer sur ce sujet qui m’est cher : le Bug Bounty. Il ne vous aura pas échappé dans l’actualité récente, que l’Europe a validé un budget de 1,9 million d’euros la semaine…
Hello,
Sur bountyfactory.io il manque un “be” dans ce bloc texte :
A PERMANENT AUDIT
The YES WE HACK community test your code whenever you choose to. It may be systematic, it may be ponctual, with a public or private program.
1 « J'aime »
Salut,
Je suis chercheur de faille/bug sur bountyFactory, j’aimerai vraiment pouvoir monter en réputation. Cependant les seuls programmes qui sont publiques sont: OVH, Qwant et Bounty Factory. Il n’est donc très difficile de pouvoir faire ses preuves.
A la nuit du hack ont m’avait dit que d’autres programmes publiques étaient en négociations, a tu une idée de quand ils vont être disponibles ? Car pour le moment je n’ai pas beaucoup d’intérêt à rester sur votre plateforme même si elle est très bien construite et c’est dommage.
A bientôt et bon courage.
merci bcp, je vais remonter le souci
Hello.
Je n’ai pas de dates précises car c’est la société qui décide quand elle passe en public mais de ce que je sais, on devrait en avoir 1 ou 2 en janvier qui vont passer en public.
Patience… (et merci pour ton message)
Merci pour la réponse, je regarde de temps en temps si je peux accéder à de nouveaux programmes, je tomberai bien dessus un jour 
Mais la ou tu as raison c’est qu’il n’y a que les entreprises pour passer en publiques donc quand ils auront pris de l’assurance ça viendra.
Bon courage et continuez comme ça
Oui, puis comme on a démarré il y a un an, faut voir ça comme un tuyau… OVH et QWANT en sont sorti mais les autres qui sont dans le tuyau ont encore un peu de chemin à faire pour en sortir
En tant que “vieux” hunter ce qui manque à mon sens c’est d’attirer vraiment le chaland.
En effet malgré la pléthore d’outils disponibles, rechercher une faille non standard prend du temps et le temps c’est de l’argent. Or d’après moi la contre-partie financière offerte par les bug bounties me paraît faible comparée à ce qu’on peut récupérer sur le darknet (désolé…) ou plus légalement lors d’une mission sécurité chez un client où habituellement une journée expert est à plus de 1000 euros HT.
Au final j’ai un peu peur que certaines failles, plus subtiles, ne soient pas découvertes et conservées bien au chaud par quelques uns…
Le problème, c’est que les 1K/j sont possibles en bug bounty quand on fonctionne par script (y compris pour les rapports) ce qui est de moins en moins possible. L’avantage en interdisant les scripts c’est que l’on empêche que le premier gars un peu expérimenté qui arrive empoche le tout tout en s’assurant que le code soit vu par plus de monde et ce au même prix et en permettant aux petits jeunes de trouver quelques bugs. L’inconvénient c’est que la communauté perd plus de temps sur des rapports débiles qu’un élève de sixième pourrait faire et se penche moins sur les bugs plus subtils. On a que ce qu’on mérite.
Après, dans certains salons on peut parfois arriver à entre 200 et 500€ min de prime de bug (par exemple, le fois 10 de 30 minute de Qwant de la dernière NDH).
Salut,
super article, néanmoins tu nous promets qu’aucune donnée n’est exposée à l’étranger, ou espionnée, je cite :
“Tout d’abord, nos serveurs sont basés en Europe et aucune data n’est exposée à des puissances étrangères comme les US, que ce soit avec FISA, le Patriot Act, le Freedom Act… etc.”
Cependant il y a trois jours, je suis tombé sur cet article: http://www.lemonde.fr/pixels/article/2016/12/08/les-renseignements-britanniques-ont-surveille-le-patron-d-ovh-premier-hebergeur-europeen_5045500_4408996.html
Indiquant que Octave Klaba, le patron d’Ovh serait espionné par les services de renseignements britaniques.
Bref, quoiqu’il arrive, je crains que peut importe où on stocke nos données, c’est impossible de ne plus se faire espionner.
je suis malheureusement d’accord sur la dernière phrase.
Cependant, ne pas avoir les informations sur des serveurs américains est une grosse différence. Si “ils” (NSA/blablabla) veulent avoir ces informations, ils ne peuvent pas le faire par un procédé légale comme au EU. ( si ils le veulent vraiment. il l’aurons par d’autre moyen … ).
@korben bonne chance pour le parlement européen. on verras ce que cela donne.
1 « J'aime »