Tero Vesalainen / Shutterstock.com
Tero Vesalainen / Shutterstock.com

La plateforme de chasse aux failles et le site web communautaire américains ont décidé de rendre public leur programme de primes de bugs.

Trois ans après avoir lancé un programme privé de bug bounty couronné de succès, Reddit a annoncé, cette semaine, sa volonté d'ouvrir au public sa chasse aux bugs menée en collaboration avec la plateforme de hackers éthiques américaine HackerOne. L'idée du site communautaire est de renforcer davantage la sécurisation de la navigation de ses utilisateurs, en attirant de nouveaux spécialistes en cybersécurité.

Reddit, la communauté et le collaboratif avant tout

Par définition et en conformité avec son modèle, Reddit a toujours compté sur sa communauté pour dénicher les bugs de la plateforme. Comme le note Spencer Koch, spécialiste de la sécurité du site, « c'est ainsi que nous avons trouvé plusieurs de nos ingénieurs pour aider à améliorer la sécurité de la plateforme au fil des ans ».

Dans son processus de sécurisation, Reddit avait franchi un premier cap en 2018, en officialisant son programme de bug bounty privé. Et ces dernières années, le réseau social a élargi la portée du programme, en offrant notamment des primes de plus en plus élevées à ses hackers éthiques.

À force que la plateforme se développe, recruter de nouveaux hackers éthiques aux compétences complémentaires est devenu de plus en plus important, de façon à élargir le périmètre de surveillance du site, pour le protéger encore mieux des hackers qui exploiteraient des failles potentielles encore non-découvertes.

Des centaines de rapports de vulnérabilité déjà transmis

Le lancement de ce programme de bug bounty public constitue donc, pour Spencer Koch, « l'évolution naturelle des choses. Nous devions ouvrir le programme pour obtenir suffisamment de chercheurs afin de couvrir l'ensemble de Reddit. Et ne pas manquer ainsi les compétences uniques que chaque hacker est en mesure d'apporter ».

Reddit mise donc plus que jamais sur l'approche collaborative pour réduire la surface d'attaque et renforcer sa sécurité. Aujourd'hui, la plateforme profite pleinement des avantages du bug bounty, et a pu voir remonter différentes vulnérabilités, de mauvaise configuration Cloud par exemple, de business logic ou XSS.

Les hackers éthiques qui, vous l'aurez compris, testent les systèmes d'information de leurs clients à la recherche de failles pour toucher des primes à la vulnérabilité découverte, aident Reddit à mettre en place les meilleurs garde-fous pour aider les développeurs à améliorer la détection précoce, avant que les failles n'atteignent la production. Pour l'heure, 300 rapports de vulnérabilité ont été émis, pour 140 000 dollars de primes.