Paypal, le fournisseur de services de paiement en ligne, a décidé de récompenser les chercheurs en sécurité qui identifieront des vulnérabilités sur son site seb, à condition qu'ils livrent leurs découvertes d'une manière responsable. «Je suis heureux d'annoncer que nous avons fait évoluer notre programme de rapport de bugs. Désormais, celui-ci rémunèrera les chercheurs », a déclaré Michael Barrett, Chief Information Security Officer (CISO) de PayPal dans un blog. Sont éligibles les failles permettant des attaques de type Cross-site scripting (XSS), la falsification des requêtes Inter-site ou Cross Site Request Forgery (CSRF), celles susceptibles de permettre l'injection de code SQL (SQLi) ou encore les vulnérabilités permettant un contournement des processus d'authentification. Le montant sera défini par l'équipe de sécurité de PayPal au cas par cas. Les chercheurs doivent disposer d'un compte PayPal vérifié pour recevoir leurs récompenses en argent. Ce faisant, PayPal s'aligne sur des entreprises comme Google, Mozilla et Facebook, qui, au cours des deux dernières années, ont mis en place des programmes destinés à récompenser les développeurs qui débusquent des failles de sécurité dans leurs services en ligne. « Il y a bien un petit nombre d'entreprises qui ont des programmes de primes aux bugs, mais nous sommes la première société de services financiers à le faire », a déclaré Michael Barrett. « Les programmes de chasse aux bugs mis en place par Google, Mozilla et Facebook ont donné de bons résultats à ce jour », a ajouté le CISO de Paypal. « J'étais d'abord réservé quant à l'idée de payer les chercheurs pour des rapports de bogues, mais je suis heureux d'admettre que les faits ont montré que j'avais tort. C'est un moyen efficace pour attirer l'attention des chercheurs sur les services Internet et cela offre donc plus de chance d'identifier des problèmes potentiels ».

 Scruter les failles : un métier à plein temps pour certains

« Le nouveau programme de chasse aux bugs va permettre à PayPal de réduire le nombre de vulnérabilités dans ses sites web, mais ceux-ci ne vont pas disparaître complètement pour autant », a estimé pour sa part Marius Gabriel Avram, ingénieur pour l'entreprise de sécurité anglaise RandomStorm. Pendant son temps libre, celui-ci scrute les failles dans les services web exploités par Google, Facebook, Twitter, Microsoft, eBay, PayPal et d'autres entreprises qui permettent aux chercheurs de le faire, à condition qu'ils livrent leurs conclusions de manière confidentielle et sans causer de dommages. « C'est une sorte de défi. Il contribue à améliorer nos compétences en sécurité et, dans certains cas, nous permet de gagner un peu d'argent », a déclaré Marius Gabriel Avram. Au cours des deux dernières semaines, le chercheur anglais a déjà identifié plus de 10 problèmes de sécurité dans les sites web principaux et mobile de PayPal. « Certains d'entre eux étaient très critiques », a-t-il confié, ajoutant que « à chaque fois l'équipe de PayPal a réagi ».

« Toutes les entreprises ne peuvent pas se permettre d'entretenir un programme de chasse aux bugs. Mais les grosses entreprises affichant des profits importants comme eBay, Amazon, Sony et autres, pourraient et devraient mettre en oeuvre ce type de programmes, d'autant que certaines d'entre elles ont du faire face à des vols de données dans le passé », a encore déclaré le chercheur de RandomStorm. Certains hackers - connus sous le nom de black hats - tirent illégalement profit des vulnérabilités qu'ils découvrent. D'autres les divulguent sur leurs blogs personnels ou sur d'autres sites publics afin de se faire un nom. Selon Marius Gabriel Avram, cette seconde catégorie de pirates informatiques pourrait être attirée par un programme de chasse aux bugs rétribué. « Comme Google et Facebook, PayPal s'est rendu compte que, sans incitation, ces personnes ne sont pas tellement intéressées à livrer leurs trouvailles et à déclarer d'eventuels problèmes de sécurité ».