Bug Bounty

🗓️ Contexte Article publié le 22 avril 2026 sur le blog personnel de Daniel Stenberg, mainteneur principal du projet curl. Il s’agit d’une analyse de tendance basée sur l’observation directe des soumissions au programme de bug bounty de curl sur HackerOne, ainsi que d’un sondage informel auprès d’autres mainteneurs de projets open source. 📈 Tendance principale : volume et qualité en hausse simultanée Depuis le retour de curl sur HackerOne en mars 2026 (après une fermeture temporaire le 1er février 2026 due aux soumissions de faible qualité générées par IA), la nature des rapports a radicalement changé : ...

🗞️ Contexte Article d’opinion publié le 19 avril 2026 par Jessica Lyons sur The Register, portant sur la posture des grands éditeurs d’IA face aux vulnérabilités découvertes dans leurs produits. 🔍 Faits principaux Des chercheurs ont démontré que trois agents IA populaires intégrés à GitHub Actions peuvent être détournés pour voler des clés API et des jetons d’accès : Anthropic Claude Code Security Review Google Gemini CLI Action Microsoft GitHub Copilot Les trois éditeurs ont versé des bug bounties : ...

🗓️ Contexte Article publié le 26 mars 2026 par The Register, basé sur une interview de Greg Kroah-Hartman, mainteneur historique du noyau Linux, lors d’un déjeuner presse à KubeCon Europe. L’article rapporte ses observations sur l’évolution de l’utilisation de l’IA dans la sécurité et la revue de code du noyau Linux et des projets open source en général. 📈 Changement brutal de qualité des rapports IA Kroah-Hartman décrit un point d’inflexion survenu il y a environ un mois : les rapports de sécurité générés par IA, auparavant qualifiés d’« AI slop » (rapports de mauvaise qualité, manifestement erronés), sont devenus réels et exploitables. Ce phénomène n’est pas limité au noyau Linux : il touche tous les projets open source majeurs, selon les échanges informels entre équipes de sécurité. ...

📰 Source : ITSocial.fr — Date : 30 mars 2026 — Contexte : Annonce produit de YesWeHack, opérateur européen de bug bounty fondé il y a dix ans, qui repositionne sa plateforme vers la gestion globale de l’exposition cyber. 🔄 Évolution du positionnement YesWeHack, jusqu’alors principalement connu pour ses programmes de bug bounty et sa politique de divulgation des vulnérabilités (VDP), lance deux nouvelles offres de test d’intrusion pour couvrir l’intégralité du cycle de gestion de l’exposition aux risques cyber. La plateforme réunit désormais quatre modalités dans une interface unifiée : ...

Selon The Verge, DJI a décidé de récompenser de 30 000 $ le chercheur Sammy Azdoufal après la mise en lumière d’un accès à un réseau d’environ 7 000 aspirateurs robots Romo, tout en précisant avoir déjà corrigé une faille de visualisation de flux vidéo sans PIN et en préparer d’autres correctifs. • Paiement et attribution 🎁 — DJI confirme avoir « récompensé » un chercheur (sans le nommer) et, d’après l’email partagé avec The Verge, versera 30 000 $ pour une seule découverte, sans préciser laquelle. Ce développement intervient après la révélation mi-février d’un accès à des milliers de Romo permettant d’observer l’intérieur de foyers. ...

Source : Bugcrowd – rapport « Inside the Mind of a Hacker », Volume 9, 2026. Contexte : étude et entretiens avec plus de 2 000 hackers de la plateforme Bugcrowd sur la démographie, les motivations, le travail en équipe et l’usage de l’IA. – Le rapport défend l’ère de « l’intelligence augmentée humaine » où la créativité humaine se combine à l’IA. Les hackers se disent fiers à 98% de leur travail et considèrent à 95% que le hacking est un art. Le public et les entreprises perçoivent différemment les hackers, ces dernières les voyant davantage comme un atout. Les motivations sont multi-factorielles (finance, opportunités, nouvelles expériences), avec 85% privilégiant le signalement d’une vulnérabilité critique plutôt que le gain financier en cas d’absence de canal clair. Environ 1 sur 5 s’identifie comme neurodivergent. ...

Source et contexte — Truffle Security Co. publie un billet invité de Luke Marshall détaillant un scan exhaustif d’environ 5,6 millions de dépôts publics GitLab Cloud (initialisé le 10/09/2025) à l’aide de TruffleHog, qui a permis d’identifier 17 430 secrets « live » vérifiés et de récolter plus de 9 000 $ en primes, pour un coût d’infrastructure d’environ 770 $ et une durée d’exécution d’un peu plus de 24 h. ...

Source: Apple Security Research (10 octobre 2025). Apple présente une mise à jour majeure de son programme Apple Security Bounty, visant à stimuler la recherche sur les surfaces d’attaque critiques de ses plateformes, dans un contexte de menaces dominées par les chaînes d’exploits de type spyware mercenaire. 💰 Récompenses record: le plafond passe à 2 M$ pour les chaînes d’exploits « zero‑click » comparables aux attaques de spyware mercenaire, avec des bonus (contournement de Lockdown Mode, bugs sur versions bêta) pouvant porter la prime totale à plus de 5 M$. Augmentations notables: 100 000 $ pour un contournement complet de Gatekeeper sans interaction, 1 M$ pour un accès iCloud non autorisé à large portée. Les catégories s’élargissent: échappatoires sandbox WebKit one‑click jusqu’à 300 000 $, et exploits de proximité sans fil (toutes radios) jusqu’à 1 M$. ...

L’article de Bleeping Computer rapporte que Microsoft a versé un montant record de 17 millions de dollars cette année à des chercheurs en sécurité dans le cadre de son programme de bug bounty. Ce programme a permis de rémunérer 344 chercheurs répartis dans 59 pays, soulignant l’engagement de Microsoft à collaborer avec la communauté de la cybersécurité pour identifier et corriger les vulnérabilités dans ses produits. Les chercheurs ont contribué à la sécurité des produits Microsoft en signalant des failles de sécurité potentielles, ce qui permet à l’entreprise de renforcer ses défenses avant que ces vulnérabilités ne soient exploitées par des acteurs malveillants. ...

Selon un article de TechCrunch, l’industrie de la cybersécurité est confrontée à un problème croissant de rapports de vulnérabilité générés par intelligence artificielle (IA) qui sont souvent faux ou trompeurs. Les experts du secteur, comme Vlad Ionescu de RunSybil, soulignent que ces rapports, bien que techniquement convaincants, ne révèlent souvent aucune vulnérabilité réelle. Les modèles de langage (LLM) créent des détails techniques fictifs, ce qui complique le travail des professionnels de la sécurité. ...