Dropbox sait à quel point les chercheurs en sécurité apprécient de recevoir des
réponses et a donc évalué ses temps de réponse depuis 2014 en faisant le constat
suivant : 75 % de ses réponses sont envoyées dans un délai de 2 jours et 2
heures, le délai le plus rapide étant de 50 minutes. Dropbox s’est efforcé
d’améliorer encore davantage ses temps de réponse et de paiement des récompenses
et, au cours des 12 derniers mois, a réduit le délai de 75 % de ses réponses à
moins de 16 heures après le signalement d’une faille. Pour les rapports de haute
qualité, Dropbox essaie d’envoyer sa récompense dès le traitement du signalement
ou dès l’envoi de sa réponse. Par conséquent, ce chiffre est très proche du
délai de réception de la récompense.

Ce programme de bug bounty a permis à Dropbox de trouver des chercheurs
extrêmement talentueux. Afin d’encourager ce type de recherches, Dropbox a
décidé de les inviter à participer à un programme exclusif leur permettant
d’accéder en avant-première aux fonctionnalités à venir. Depuis les débuts de
son programme, 75 % des signalements ont reçu une réponse en 16 heures environ et,
au cours de l’année passée, 75 % des signalements ont reçu une réponse dans un
délai de 9 heures.

En discutant avec la communauté, Dropbox a également découvert que les chercheurs
appréciaient particulièrement la résolution rapide des vulnérabilités
signalées. En général, Dropbox essaie de résoudre les failles graves et
critiques dès que possible. Certaines ont été résolues en moins d’une heure
après leur signalement. En ce qui concerne les failles donnant droit à une
récompense supérieure à 1 000 dollars, Dropbox a répondu à 75 % d’entre elles
en moins de 11 heures et a résolu (réparé et supprimé) plus de la moitié
d’entre elles en moins de 16 jours.

Dropbox apporte trois principales nouveautés au programme :

– Triplement du montant des récompenses

Dès aujourd’hui, le montant des récompenses de Dropbox sera au moins multiplié
par trois. La récompense en cas de signalement d’une faille critique
(généralement liée à l’exécution de code à distance [RCE] sur ses serveurs)
peut désormais atteindre 32 768 dollars, et 18 564 dollars pour les failles RCE
affectant ses clients mobiles et de bureau.

Pour encourager cette initiative, Dropbox a également complété les récompenses
versées ces six derniers mois pour le signalement de failles critiques pour
qu’elles atteignent ces nouveaux montants, soit une somme supplémentaire de plus
de 28 000 dollars pour les failles critiques ou graves signalées cette année.

– Bonus spécial pour les meilleurs rapports

Dropbox a également mis en place une procédure pour évaluer les rapports de haute
qualité et particulièrement novateurs envoyés dans le cadre de son programme. Au
moins deux fois par an, des employés de Dropbox étudieront les rapports de haute
qualité et en récompenseront certains. L’octroi du bonus se fera selon les
critères suivants : qualité du rapport, qualité de la recherche et interaction
avec le chercheur. En proposant ces bonus, Dropbox espère également favoriser les
recherches innovantes. Dropbox vient d’étudier les candidatures de cette année et
a donné 14 000 dollars supplémentaires en bonus. Voici quelques exemples de
signalements intéressants que Dropbox a récompensé :

Neex a signalé une vulnérabilité de divulgation de fichier local via le
traitement HLS ffmpeg. L’impact sur Dropbox était minimal compte tenu du fait que
Dropbox isole tous ses traitements vidéo dans une instance sandbox, mais Dropbox a
été impressionné par la qualité de la recherche dans le vecteur concerné. Un
fichier vidéo qui permet de lire le contenu de certains fichiers est un vecteur
très avancé.

Mdv a signalé un XSS au niveau du fournisseur de chat sortant que Dropbox utilise
sur ses pages marketing. Bien que le XSS identifié figurait sur le site du
fournisseur, Dropbox évalue les bugs en fonction de l’impact sur ses utilisateurs,
et non en fonction du responsable du bug. Le rapport de Mdv était excellent et
décrivait en détail la façon dont le XSS pouvait affecter la sécurité de ses
clients.

Frans a signalé à Dropbox une configuration erronée de Mailgun sur
email.gateway.dropbox.com. Dropbox a résolu le bug en moins de 30 minutes après
son signalement. Puisqu’il s’agit d’un domaine non utilisé, l’impact potentiel
était faible. Toutefois, Dropbox a beaucoup apprécié la qualité du rapport et la
description détaillée de l’impact. De plus, l’identification des problèmes
d’intégration est une vraie nouveauté.

– Programme de dons jumelés

Dropbox a également lancé un programme de dons jumelés en faveur d’œuvres
caritatives, avec l’aide de son partenaire HackerOne. Dropbox a récemment fait un
don à Médecins Sans Frontières.