Uber offre aux hackers une récompense de 10 000 USD pour trouver des bugs dans son application

Uber est un fervent défenseur de la grande économie de marché: le recours à des pigistes a permis à la société de devenir l’un des moyens de transport les plus populaires. Et aujourd'hui, Uber a annoncé qu'il insistait également sur sa préférence pour les indépendants dans le secteur de la sécurité.

Uber a proposé au public un programme de «bount bugs» qui offre de l’argent à des hackers au chapeau blanc grâce au projet, afin de détecter les plus infimes bogues du logiciel de la société. Et pour renforcer leur enthousiasme, ils ont attaché un gain impressionnant pouvant atteindre 10 000 dollars.

«Même avec une équipe d'experts en sécurité hautement qualifiés et bien formés, vous devez être constamment à la recherche de moyens d'amélioration», a déclaré Joe Sullivan, responsable de la sécurité, dans un communiqué. «Ce programme de prime aux bogues aidera à garantir que notre code est aussi sécurisé que possible. Et notre programme de fidélité unique encouragera la communauté de la sécurité à devenir des experts en matière d’Uber."

Pour ce faire, Uber s'est associé à HackerOne, une entreprise «récompensant les pirates informatiques sympathiques qui contribuent à un Internet plus sécurisé». HackerOne dispose d'un comité de conseillers allant de Chris Evans, responsable de la sécurité chez Tesla, à Kostya Kortchinsky, ingénieur en sécurité chez Google.

Uber tente de retenir les pirates informatiques comme une compagnie aérienne retient les tracts avec un «programme de fidélisation unique en son genre». À compter du 1er mai, les chasseurs de primes à bug auront 90 jours pour trouver plus de quatre bugs certifiés par Uber. À partir du cinquième bogue, Uber ajoutera un bonus supplémentaire de 10% pour chaque nouveau bogue.

La société a promis une bonne quantité de transparence pour aider les pirates informatiques à résoudre plus rapidement les problèmes avec une «carte au trésor». La carte au trésor tente de se montrer à la hauteur de son nom en répertoriant les schémas Uber et en offrant divers conseils pour pénétrer en profondeur dans l'entreprise. pour trouver même les bugs les plus subtils qui pourraient se cacher dans la programmation.

Bien que la carte au trésor puisse être passionnante pour les personnes cherchant à encaisser l'argent de la société, elle pourrait également l'être pour les pirates informatiques au chapeau noir aux intentions plus néfastes. Mais Uber insiste sur le fait qu’il ne renonce pas à une information qui n’est pas déjà disponible au public, mais qu’il diffuse simplement cette information pour que tout le monde puisse la trouver plus facilement. En plus de l'application elle-même, la carte des trésors explique et indique les éléments à rechercher dans les pages de coureurs, de développeurs, de partenaires, d'entreprise et de coffre-fort. Cette dernière en particulier pourrait attirer l’attention, car c’est là que sont stockées les informations bancaires et les numéros d’identité nationaux, informations sensibles que Uber a eu du mal à garder confidentielles l’année dernière.

Lors de la version privée du programme de l’année dernière, plus de 200 chercheurs en sécurité ont découvert près de 100 bogues.

Si Uber constate ce type de succès auprès du public (et que les pirates décident de ne pas utiliser la carte au trésor pour un but autre que celui auquel il est destiné), il pourra peut-être éviter des problèmes de sécurité plus embarrassants.

Nous vous tiendrons au courant des bugs révélés par ces pirates.

Correction (29/03/16): Dans la version originale de cet article, il était indiqué que HackerOne était une société à but non lucratif, alors qu’il s’agissait en fait d’une société à but lucratif. L'article a été édité pour refléter cela.