Robert Kugler, un étudiant allemand âgé de 17 ans, annonce publiquement qu’il a trouvé un bug sur le site Paypal.
En tant que bon citoyen du net, il a découvert ce bug de manière responsable en participant au programme « Bug Bounty » de Paypal.
Paypal a donné deux réponses à cette annonce : Premièrement, Paypal affirme que « quelqu’un d’autre a déjà trouvé cette faille par cross-site scripting (XSS). »
Et deuxièmement, Paypal déclare « Merci quand même, mais nous nous passerons de ton aide, « Kiddo », car tu es trop jeune pour participer au programme de toute façon. »
PayPal, avez vous été agacé par ce chercheur en herbe ?
Il semblerait bien, la prochaine étape de Kugler était de faire ce qui est qualifié dans l’industrie de la sécurité comme irresponsable – Il a annoncé ce bug publiquement.
Le commentaire de Kugler, posté le 24 Mai :
[quote align=”center” color=”#999999″]Sans vouloir accuser Paypal de vouloir faire des économies sur son programme « Bug Bounty », ce n’est pas la meilleure façon de procéder si vous voulez motiver des chercheurs en matière de sécurité…[/quote]
En réponse, Paypal fait une déclaration par e-mail à TechWeek Europe :
[quote align=”center” color=”#999999″]Bien que nous apprécions la contribution de Monsieur Kugler au programme Bug Bounty, nous pouvons confirmer que la vulnérabilité de cross-scripting qu’il a identifiée était déjà découverte par un autre chercheur, et que Monsieur Kugler n’a pas le droit de participer au programme avant ses 18 ans[/quote]
La vulnérabilité trouvée dans la fonction recherche de Paypal peut être déclenchée avec du code JavaScript, comme souvent avec les failles XSS.
Il y a des milliers d’exemples de ce type d’attaque par XSS, comme par exemple l’exploit de la vulnérabilité “onMouseOver” sur Twitter et la compromission de comptes Yahoo via une faille dans la page du blog YDN de la société.
Kugler affirme qu’il a signalé la vulnérabilité de Paypal le 19 Mai, mais il reste âgé de moins de 18 ans, et il n’est donc pas encore légitime pour participer au Bug Bounty Program. Il le sera le 18 Mars 2014, lorsqu’il aura ses 18 ans.
Un seul problème : Même si Paypal cite une limite d’âge, aucune limite n’est indiquée sur le site de son programme Bug Bounty.
L’éditeur “x9k” note que Google et Mozilla paient des chercheurs en matière de sécurité qui sont mineurs avec l’accord d’un adulte.
x9k poursuit en citant les exemples suivants sur les chercheurs en matière de sécurité, l’un d’entre eux étant beaucoup plus jeune que Mr Kugler :
Mozilla a payé un jeune garçon de 12 ans 3 000 $ pour une faille dans la mémoire du navigateur Firefox.
L’étudiant “Pinkie Pie” a reçu 60 000 dollars de prime pour avoir trouvé une défaillance dans le navigateur Google Chrome.
Un Norvégien âgé de 15 ans, Cim Stordal, qui a gagné le droit de figurer dans le « Google Security Hall of Fame » en révélant une faille de sécurité par XSS à Apple, a été remercié par Microsoft pour révéler cette vulnérabilité et a reçu 500 dollars de Facebook.
PayPal annonce dans sa déclaration travailler à la correction de cette vulnérabilité par XSS , qui n’a pas encore été exploitée à ce jour:
[quote align=”center” color=”#999999″]Nous travaillons rapidement à corriger ce problème et nous n’avons trouvé aucune preuve à l’heure actuelle nous confirmant que des données de nos clients aient été compromises à cause de cette vulnérabilité[/quote]
Paypal a-t-il eu raison de ne pas payer Kugler?
Du fait que d’autres personnes avaient déjà trouvé le bug en question, ne pas le payer est défendable, quel que soit son âge.
Paypal m’a envoyé un message sur ce point :
[quote align=”center” color=”#999999″]Dans cette situation très spécifique, la vulnérabilité par cross-site scripting a été déjà découverte par un autre chercheur, et il n’aurait pas donc été éligible à un paiement, indépendamment de son âge, car nous nous devons d’honorer le premier chercheur qui a découvert cette vulnérabilité[/quote]
Mais j’estime que l’excuse de ne pas le payer sous prétexte qu’il n’a pas 18 ans révolu reste peu convaincante. Des entreprises comme Paypal se doivent de payer les chercheurs qui découvrent des vulnérabilités, et ce, quel que soit leur âge.
Si Kugler avait été le premier à trouver cette vulnérabilité sur Paypal, il aurait dû recevoir un paiement, fin de l’histoire.
La dernière chose dont le monde de la sécurité a besoin est de décourager les chercheurs.
PayPal s’efforce de faire amende honorable, en exprimant son souhait d’explorer de nouvelles manières d’encourager les jeunes chercheurs, pour essayer d’effacer la mauvaise publicité reçue dans cette affaire.
Si on en croit leurs affirmations, ils vont envoyer une lettre à Robert Kugler (en espérant qu’elle soit respectueuse et comporte des excuses) :
[quote align=”center” color=”#999999″]Nous apprécions les efforts des chercheurs et cette situation montre que Paypal peut faire plus pour reconnaître les jeunes chercheurs dans le monde. Dans un premier temps, nous allons envoyer une lettre officielle de reconnaissance pour la contribution de ce chercheur, puis nous explorerons d’autres façons de reconnaître les plus jeunes chercheurs en sécurité lorsqu’ils découvrent une vulnérabilité et annoncent de manière responsable leur découverte.[/quote]
D’accord, c’est une première étape et une lettre vaut mieux que rien.
Mais je ne comprends pas pourquoi Paypal doit explorer « d’autres façons de reconnaître les jeunes chercheurs quand ils découvrent une vulnérabilité » et l’annoncent de manière responsable.
L’entreprise a déjà une façon de reconnaître ces bugs, en offrant une prime. Pourquoi l’âge devrait-il changer les choses ?
Et, concernant l’annonce publique, Kruger aurait-il dû rendre cette vulnérabilité publique, par dépit ?
Certainement pas.
Mais il n’y a pas plus furieux qu’un chercheur méprisé !
[divider]
Partagez PayPal refuse de payer les ados qui découvrent des bugs : http://wp.me/p2YJS1-Q4
Billet original de Lisa Vaas sur nakedsecurity.