Le site de partage de code Github vient d’étendre son programme de chasse aux bugs et d’augmenter le montant des primes versées aux personnes qui lui font remonter des vulnérabilités, relevant à 30 000 dollars ou « plus » le seuil supérieur. Dans le même temps, il a renforcé ses règles de protection des développeurs intervenant dans ce cadre. En 2018, il a déboursé plus de 250 000 dollars en 2018 dans ses actions de sécurité autour de son programme de bug bounty, incluant le versement de 165 000 dollars aux développeurs ayant trouvé des vulnérabilités. 

Son programme s’étend maintenant à tous les services qu’il propose sous son propre nom de domaine github.com, ce qui inclut Github Education, Learning Lab, Jobs et l’application Desktop, ainsi qu’Enterprise Cloud. Les services hébergés sous les noms de domaine internes githubapp.com et gihub.net sont également concernés, ce qui permet aux collaborateurs du site d'hébergement de projets de partir eux-aussi à la chasse aux bugs. 

Les bugs critiques extrêmement difficiles à débusquer

Si la découverte d’un bug jugé peu sévère est récompensé entre 617 et 2 000 dollars, on passe tout de suite de 4000 à 10 000 dollars pour une faille de sévérité moyenne. La découverte de vulnérabilités jugées très sévères est récompensée entre 10 000 et 20 000 dollars. Enfin, pour une faille critique, le chercheur en sécurité peut recevoir une somme dépassant les 30 000 dollars. Ce montant n'est en effet fourni qu'à titre indicatif, les bugs critiques étant extrêmement difficiles à trouver, souligne Github. 

Le référentiel de partage de code a par ailleurs étendu son Legal Safe Harbor pour protéger ses chasseurs de bugs. Dans ces dispositions, il exprime son souhait que les développeurs engagés dans la recherche de failles révèlent celles qu’ils ont trouvées « de manière responsable » par le biais de son programme. Mais il ne veut pas que les chercheurs puissent craindre des conséquences juridiques en essayant de bonne foi de se conformer aux règles de son bug bounty. « Pour encourager la recherche et la révélation responsable de vulnérabilités de sécurité, nous n’engagerons pas d’action civile ou pénale, ni n’informerons les autorités judiciaires en cas de violations accidentelles ou de bonne foi de ces règles », indique ainsi Github dans les termes de son Safe Harbor. Github ne poursuivra donc pas un développeur si, en recherchant un bug, il a enfreint les termes de son service d’une autre façon. En revanche, il ne pourra pas empêcher un tiers d’engager des poursuites. Toutefois, si un rapport de bug concerne un tiers, Github précise qu’il pourra partager avec lui du contenu non identifié de ce rapport, mais seulement après avoir prévenu le chercheur concerné et avoir demandé au tiers un engagement écrit qu’il n'intentera pas d'action contre le chercheur.