Yahoo! ouvre sa chasse aux bugs avec jusqu'à 15 000 dollars de récompense

Yahoo! annonce officiellement l'ouverture d'un nouveau programme de chasse aux bugs afin de sécuriser davantage les services Web de son portail avec à la clé, des récompenses entre 150 et 15 000 dollars.

La semaine dernière, le cabinet de sécurité High-Tech Bridge expliquait avoir rapporté une faille de type XSS repérée au sein de Yahoo! Mail avec, pour seule récompense, un bon d'achat de... 12,50 dollars à utiliser sur la boutique officielle de Yahoo! listant des articles à l'effigie de la marque. A titre de comparaison, Google et Microsoft reversent plusieurs centaines, voire plusieurs milliers de dollars aux experts en sécurité en fonction de l'importance de leurs découvertes.

Suite à cette affaire, Ramses Martinez, directeur de l'équipe de sécurité chez Yahoo!, annonce le lancement officiel d'un programme de châsse aux bugs. Il précise que la société n'avait pas de politique particulière pour féliciter les chercheurs ; il était alors obligé d'acheter lui-même quelques récompenses pour symboliser les remerciements du groupe.

M. Martinez explique que la soumission d'une vulnérabilité est désormais simplifiée et l'équipe de sécurité continuera de fonctionner 24/7 pour répondre à chacune des demandes. Il ajoute au passage que la faille repérée par High Tech Bridge a été corrigée en quelques heures seulement.. Les nouveaux problèmes de sécurité seront désormais récompensés par le reversement d'une somme entre 150 dollars et 15 000 dollars selon la sévérité de la faille.

Cette nouvelle politique sera mise en vigueur le 31 octobre avec un effet rétro-actif jusqu'au 1 juillet 2013. Cet été, Microsoft expliquait vouloir reverser jusqu'à 11 000 dollars aux experts repérant des failles sur IE11 et Windows 8.1. Google propose de son côté jusqu'à 20 000 dollars.