Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Bug Bounty : les nouveautés du programme Dropbox

septembre 2017 par Emmanuelle Lamandé

Dropbox annonce un certain nombre d’améliorations à son programme de lutte contre les failles de sécurité informatique, ou bug bounty, lancé en 2014, ainsi que des progrès effectués en interne, à la fois en matière de temps de réponse et de résolution des problèmes.

Dropbox sait à quel point les chercheurs en sécurité apprécient de recevoir des réponses et a donc évalué ses temps de réponse depuis 2014 en faisant le constat suivant : 75 % de ses réponses sont envoyées dans un délai de 2 jours et 2 heures, le délai le plus rapide étant de 50 minutes. Dropbox s’est efforcé d’améliorer encore davantage ses temps de réponse et de paiement des récompenses et, au cours des 12 derniers mois, a réduit le délai de 75 % de ses réponses à moins de 16 heures après le signalement d’une faille. Pour les rapports de haute qualité, Dropbox essaie d’envoyer sa récompense dès le traitement du signalement ou dès l’envoi de sa réponse. Par conséquent, ce chiffre est très proche du délai de réception de la récompense.

Ce programme de bug bounty a permis à Dropbox de trouver des chercheurs extrêmement talentueux. Afin d’encourager ce type de recherches, Dropbox a décidé de les inviter à participer à un programme exclusif leur permettant d’accéder en avant-première aux fonctionnalités à venir. Depuis les débuts de son programme, 75 % des signalements ont reçu une réponse en 16 heures environ et, au cours de l’année passée, 75 % des signalements ont reçu une réponse dans un délai de 9 heures.

En discutant avec la communauté, Dropbox a également découvert que les chercheurs appréciaient particulièrement la résolution rapide des vulnérabilités signalées. En général, Dropbox essaie de résoudre les failles graves et critiques dès que possible. Certaines ont été résolues en moins d’une heure après leur signalement. En ce qui concerne les failles donnant droit à une récompense supérieure à 1 000 dollars, Dropbox a répondu à 75 % d’entre elles en moins de 11 heures et a résolu (réparé et supprimé) plus de la moitié d’entre elles en moins de 16 jours.

Dropbox apporte trois principales nouveautés au programme :

- Triplement du montant des récompenses

Dès aujourd’hui, le montant des récompenses de Dropbox sera au moins multiplié par trois. La récompense en cas de signalement d’une faille critique (généralement liée à l’exécution de code à distance [RCE] sur ses serveurs) peut désormais atteindre 32 768 dollars, et 18 564 dollars pour les failles RCE affectant ses clients mobiles et de bureau.

Pour encourager cette initiative, Dropbox a également complété les récompenses versées ces six derniers mois pour le signalement de failles critiques pour qu’elles atteignent ces nouveaux montants, soit une somme supplémentaire de plus de 28 000 dollars pour les failles critiques ou graves signalées cette année.

- Bonus spécial pour les meilleurs rapports

Dropbox a également mis en place une procédure pour évaluer les rapports de haute qualité et particulièrement novateurs envoyés dans le cadre de son programme. Au moins deux fois par an, des employés de Dropbox étudieront les rapports de haute qualité et en récompenseront certains. L’octroi du bonus se fera selon les critères suivants : qualité du rapport, qualité de la recherche et interaction avec le chercheur. En proposant ces bonus, Dropbox espère également favoriser les recherches innovantes. Dropbox vient d’étudier les candidatures de cette année et a donné 14 000 dollars supplémentaires en bonus. Voici quelques exemples de signalements intéressants que Dropbox a récompensé :

Neex a signalé une vulnérabilité de divulgation de fichier local via le traitement HLS ffmpeg. L’impact sur Dropbox était minimal compte tenu du fait que Dropbox isole tous ses traitements vidéo dans une instance sandbox, mais Dropbox a été impressionné par la qualité de la recherche dans le vecteur concerné. Un fichier vidéo qui permet de lire le contenu de certains fichiers est un vecteur très avancé.

Mdv a signalé un XSS au niveau du fournisseur de chat sortant que Dropbox utilise sur ses pages marketing. Bien que le XSS identifié figurait sur le site du fournisseur, Dropbox évalue les bugs en fonction de l’impact sur ses utilisateurs, et non en fonction du responsable du bug. Le rapport de Mdv était excellent et décrivait en détail la façon dont le XSS pouvait affecter la sécurité de ses clients.

Frans a signalé à Dropbox une configuration erronée de Mailgun sur email.gateway.dropbox.com. Dropbox a résolu le bug en moins de 30 minutes après son signalement. Puisqu’il s’agit d’un domaine non utilisé, l’impact potentiel était faible. Toutefois, Dropbox a beaucoup apprécié la qualité du rapport et la description détaillée de l’impact. De plus, l’identification des problèmes d’intégration est une vraie nouveauté.

- Programme de dons jumelés

Dropbox a également lancé un programme de dons jumelés en faveur d’œuvres caritatives, avec l’aide de son partenaire HackerOne. Dropbox a récemment fait un don à Médecins Sans Frontières.




Voir les articles précédents

    

Voir les articles suivants