LaboFnac

Netflix veut renforcer sa sécurité et récompensera les chasseurs de bugs

Netflix a décidé d'ouvrir son programme de chasse aux bugs et invite les experts en sécurité à l'aider à sécuriser son service de SVoD.

La chasse aux bugs est l’affaire de tous et la plupart des entreprises ont mis en place des programmes du genre, des bug bounty dans la langue de Shakespeare. L’une des plus célèbres – Google – a dépensé 2,9 millions de dollars en 2017 pour corriger les bugs et autres vulnérabilités de ses différents produits et systèmes.

Netflix Switch

© Netflix

Netflix en a lui aussi fait l’une de ses priorités et propose un programme de chasse aux bugs depuis 2013, mais il n’était pas public. Désormais, celui-ci est ouvert à tous. Le très populaire service de SVoD explique qu’il veut « continuer à améliorer la sécurité de [ses] produits et services tout en renforçant [sa] relation avec la communauté ». Les experts en sécurité qui souhaitent aider Netflix devront communiquer les failles détectées via Bugcrowd.

Netflix avait déjà un bug bounty privé

Selon la gravité de la vulnérabilité, les récompenses iront de 100 à 15 000 dollars et Netflix s’engage à réagir dans un délai de sept jours. La prise en compte des rapports s’établit actuellement à 2,7 jours. Depuis son lancement, Netflix assure avoir corrigé 190 problèmes et en a profité pour lancer un programme privé en septembre 2016. Au cours des 18 derniers mois, la firme a validé et récompensé 145 failles sur 275 déclarés. Elle explique : « Ces contributions nous ont aidés à améliorer notre posture de sécurité externe et à identifier les améliorations systémiques de sécurité à travers notre écosystème. Nous avons également fait des efforts pour rester en contact avec nos chercheurs par le biais d’événements tels qu’un Defcon Meet and Greet et un bug bash. Nous travaillons en étroite collaboration avec des chercheurs pour évaluer l’impact d’une vulnérabilité et les récompenser en conséquence ».

À noter qu’il faudra respecter quelques règles. La plateforme indique par exemple qu’il n’est pas question d’accéder aux données personnelles des utilisateurs et des employés. Il est également interdit d’accéder à des contenus qui n’ont pas été diffusés ou à des informations confidentielles concernant Netflix. Le service de streaming indique que si un chercheur y accède « accidentellement », il devra stopper ses recherches et le signaler.


Contenus associés

Partager cet article :

Attention, vous avez déjà 3 produits dans le comparateur : supprimez un de ces produits pour rajouter celui-ci au comparateur.