Présenté lors de la 14ème édition de la Nuit du Hack, le Bug Bounty OVH permet à l’ensemble des personnes intéressées par la sécurité informatique de signaler d’éventuelles failles relevées sur ses infrastructures. Déjà testé en interne, ce programme est désormais accessible sur la plateforme bountyfactory.io. Toute faille de sécurité signalée est étudiée, puis corrigée si besoin, par les équipes chargées de la sécurité. Chaque signalement lié à une faille avérée donnera lieu à une récompense – financière dans la plupart des cas, pouvant s’élever jusqu’à 10 000 euros – et parfois sous la forme de goodies ou des bons d’achat pour des failles en dehors du périmètre.

Les plateformes de Bug Bounty existantes jusqu’à présent étant toutes américaines. La nouvelle plateforme rompt avec cette tradition puisqu’elle est hébergée par OVH en interne sur l’offre Dedicated Cloud, infrastructure certifiée ISO 27001 depuis plusieurs années.

«Avec ce Bug Bounty, nous pouvons tester en permanence l’ensemble de nos infrastructures avec des profils différents et des compétences variées. Nous ne pourrions jamais couvrir un tel spectre sur une période aussi longue avec des audits classiques», explique dans un communiqué Vincent Malguy, de l’équipe SOC (Security Operation Center) d’OVH.

Ne concernant pour le moment que les failles de sécurité découvertes sur l’API et le Manager d’OVH, le Bug Bounty devrait être rapidement étendu à d’autres services d’OVH.

Pour en savoir plus : https://www.ovh.com/fr/a2316.le-bug-bounty-ovh-est-ouvert