Tor se (re)lance dans le Bug Bounty

Constamment à la recherche de nouvelles stratégies pour perfectionner la qualité de ses outils d’anonymisation, le Projet Tor a décidé de lancer son propre programme de chasse aux bugs. L’organisation à but non lucratif est même disposée à verser jusqu’à 4 000 dollars de prime aux chercheurs qui réussiront à trouver des bugs dans ses différents outils. C’est principalement dans le réseau Daemon et le navigateur orienté vie privée que les failles doivent être décelées.

Actuellement, Microsoft, Google, Intel et d’autres géants IT proposent des récompenses à ceux qui parviennent à trouver des failles de sécurités dans leurs outils.

ProtonMail Tor

Le réseau mondial d’échanges de données anonymisées Tor compte parmi l’une des rares associations qui lancent ce genre de programme.

Un programme ouvert à tous

Le Bug Bounty Program de Tor sera une aubaine pour les habituées de l’organisation notamment les avocats, les journalistes, les activistes défenseurs des libertés, mais également les escrocs et les pirates.

Le projet Tor avait déjà démarré en début 2016 son programme privé de bug bounty avant de prendre cette décision de l’ouvrir au public. Selon le chef du projet du navigateur Tor, Georg Koppen, « Nous avons premièrement invité un petit nombre d’experts pour l’inspection de notre code. Cela nous a permis de gagner en maîtrise de l’organisation du travail et d’en inviter de plus en plus. »

Sur son site, Tor annonce qu’« Avec le soutien du Open Technology Fund, nous lançons notre premier programme de chasse au bug public avec HackerOne. Nous recherchons spécifiquement votre aide pour trouver des bugs dans Tor (réseau Daemon) et Tor Browser. Certaines des vulnérabilités que nous recherchons incluent l’escalade des privilèges locaux, l’accès non autorisé aux données de l’utilisateur, les attaques qui causent la fuite de matériel cryptorelais ou les clients et l’exécution de code à distance. »

Une récompense selon la sévérité de la faille trouvée

Les chercheurs devront dénicher les failles qui sont susceptibles de causer une escalade de privilèges, un accès illégal aux données d’un utilisateur, l’obtention de données sur les relais et les clients, l’exécution de code à distance. Ce sont les failles les plus critiques pour lesquelles Tor prévoit une prime entre 2000 $ et 4000 $.

Une récompense de 500 $ et 2000 $ est en outre prévue pour ceux qui trouveront une faille de moyenne importance.

Tel est le cas pour les bugs trouvés dans des bibliothèques tierces utilisées par Tor. Enfin, les chercheurs auront droit à une prime de 100 $ à 500 $ pour les failles moindres.

Mots-clés bug bountytor