Opinion: Il reste à débattre si la récompense en valait la peine après tout.
[Mise à jour 18h54 GMT: mise à jour avec clarification.]
Yahoo a payé 2 000 $ en récompense au chercheur en sécurité qui a révélé la présence de la vulnérabilité ImageMagick dans un domaine d'entreprise appartenant à Yahoo.
Selon la Semaine de la sécurité, la vulnérabilité ImageMagick était présente sur Polyvore, une plateforme de commerce social communautaire acquis par Yahoo l'année dernière.
La faille de sécurité, CVE-2016-3714, a été surnommé « ImageTragick » par les chercheurs. Trouvée dans le logiciel open source ImageMagick, une bibliothèque importante utilisée dans le traitement et le téléchargement d'images sur le Web, la vulnérabilité peut être exploité pour inciter le programme à exécuter du code malveillant.
Si un attaquant télécharge un fichier malveillant déguisé en image, il peut pirater des sites Web, diffuser des logiciels malveillants et voler des informations.
Comme ImageMagick est utilisé sur d’innombrables sites Web, la gravité de l’impact de la faille est élevée.
Les chercheurs de Cloudflare ont déclaré cette semaine Les cyberattaquants prennent déjà le train d'ImageTragick, compilant la vulnérabilité dans des kits d'exploitation et utilisant CVE-2016-3714 dans des attaques ciblées contre des domaines spécifiques.
Dans le cas de Yahoo, la société a également été prise au dépourvu.
Le chercheur en sécurité Behrouz Sadeghipour a découvert que la vulnérabilité était présente dans le domaine Web appartenant à Polyvore, récemment ajouté au programme de bug bounty de Yahoo.
Après avoir informé Yahoo le 4 mai et remis un exemple de validation de principe (PoC) au géant de la technologie comme preuve, la vulnérabilité a été corrigée en quelques heures.
Sadeghipour a ensuite reçu 2 000 dollars pour ses efforts, mais le chercheur estime qu'en raison de l'ampleur du problème, la récompense aurait dû être plus élevée.
Yahoo offre jusqu'à 15 000 $ pour les vulnérabilités à haut risque soumises par les chercheurs. Il s’agit d’un cas intéressant car la faille a déjà été rendue publique et a été découverte par un autre expert en sécurité, mais vous ne pouvez pas ignorer l’impact potentiellement élevé de la faille.
Sécurité
- 8 habitudes des travailleurs à distance hautement sécurisés
- Comment trouver et supprimer les logiciels espions de votre téléphone
- Les meilleurs services VPN: comment se comparent les 5 meilleurs?
- Comment savoir si vous êtes impliqué dans une violation de données – et que faire ensuite
Une fois qu'un système aurait été piraté, cela aurait pu conduire un attaquant vers les principaux domaines de Yahoo. en fonction de l'infrastructure et si les données sensibles - telles que les informations d'identification inter-sites - ont été volé.
Yahoo affirme que la récompense était basée sur un certain nombre de paramètres, notamment « la profondeur et l'impact » de la faille.
Les webmasters utilisant ImageMagick devraient mettre à jour leur logiciel à la dernière version.
Même si Yahoo a sans doute autrefois offert de piètres récompenses en matière de bug bounty -- par exemple, en 2013, la société technologique a donné un bon de 25 $ à deux chercheurs pour avoir divulgué des vulnérabilités de script intersite affectant deux domaines Yahoo, il y en a maintenant plus 2 000 chercheurs ont contribué au programme de bug bounty du géant de la technologie, basé sur HackerOne, et plus de 1,6 million de dollars ont été versés à date.
ZDNet a contacté Yahoo et sera mis à jour si nous recevons une réponse.
Sauvegarder mon smartphone: comment ressusciter votre iPhone et autres combinés mouillés
Continuez à lire: Les meilleurs choix
- Apple passe côté serveur pour corriger la faille de sécurité du contournement de l'écran de verrouillage Siri
- Bounties aux bogues: quelles entreprises offrent de l’argent aux chercheurs ?
- Les cyberattaquants bâclent l'intégration de la vulnérabilité Zero Day d'Adobe Flash dans les kits d'exploitation
- Rencontrez l'entreprise qui veut empêcher les pirates d'utiliser le Web jusqu'à ce qu'ils paient