Bug Bounty - YES WE HACK

YesWeHack a organisé pour la première fois en 2019 un événement dédié au Bug Bounty.
Cette campagne s'est tenue dans un espace réservé aux nombreux chercheurs et experts en sécurité, où ils ont opéré sur plusieurs périmètres. Les participants ont également pu gagner des récompenses selon l'importance des vulnérabilités remontées.

En 2019, YesWeHack avait choisi d'aider en priorité les Civitechs et les ONGs.

Des récompenses à la clé !


Les récompenses sont de deux types : plusieurs milliers d'Euros sont prévus pour récompenser les meilleurs chercheurs et des goodies collectors récompensent les lauréats.
Pour tous les acteurs, nos clients, les développeurs et les chercheurs, ce programme de Bug Bounty au sein du FIC 2019, est une belle et utile occasion d'échanger et de se confronter à la réalité des menaces afin d'accroître de manière significative le niveau de "security et privacy" by design.
 
Guillaume Vassault-Houlière, CEO of YesWeHack
Avec la signature de l’Appel de Paris par le FIC, il nous semblait important de prolonger cet engagement de manière concrète. C’est pourquoi nous sommes très heureux, aux côtés de Yes We Hack, de proposer gratuitement aux acteurs de la Civitech ainsi qu’à un ensemble d’ONGs un programme de recherche de vulnérabilités (bug bounty) durant les deux jours de l’événement de janvier prochain.
                                         Guillaume Tissier, Président de CEIS

Comment participer ?

1. Vous devez être inscrit au FIC 2020 (ouverture des inscriptions à l'automne 2019).

2.Chaque hunter aura l’obligation d’avoir un compte sur la plateforme de Bug Bounty YesWeHack afin de valider le règlement avant de chasser les bugs et d'accéder aux différents programmes.

3. Chaque Hunter du bug bounty du FIC 2020 sera soumis via son inscription aux conditions d'utilisation de la plateforme de bug bounty YesWeHack.

Règlement

Code de conduite
• Pas d'attaque de type Déni de service, ni Brute-Force, d'attaque par ingénierie sociale ou d'attaque physique et pas de spam !
• Pas de divulgation publique de Bug
• Nous nous réservons le droit d'annuler les programmes à tout moment et la décision de payer une récompense reste à l'entière discrétion des gestionnaires des programmes.
• Vous ne devez pas enfreindre la loi et rester dans le périmètre fixé
• Vous ne devez ni perturber le service ni corrompre les données personnelles
• Tout manquement au règlement entraînera l’invalidité de la soumission voire l’exclusion du programme de Bug Bounty

Généralités
• Aucun(s) employé(s) (actuel(le) ou passé) des périmètres du programme ne peut prétendre au programme Admissibilité Règles pour être admissible à une récompense
• Respecter le règlement de chaque programme décrit sur https://yeswehack.com
• Être la première personne à signaler une vulnérabilité.
• Soumission d’un bug qui pourrait compromettre l’intégrité des données des utilisateurs, contourner la protection de confidentialité des données des utilisateurs ou permettre l’accès à un système au sein de l’infrastructure, tels que : le contournement de l'authentification, injections XSS/SQL/XML, CSRF, SSRF, exécution de code arbitraire distant. Les vulnérabilités qualifiantes pour un prime seront indiquées dans le détail de chaque programme
• Seule une exploitation provenant d'une des adresses IP attribuées au FIC 2019 sera considérée comme valable.

Soumission des bugs
Veuillez respecter les règles suivantes:
• Utilisation exclusive de la plateforme de Bug Bounty https://yeswehack.com (Check de pseudo/hash - Timestamp de soumission)
• Fournir suffisamment d'informations pour analyser le cheminement de l'attaque ainsi que de pouvoir aisément la rejouer, ce qui simplifiera les validations des soumissions, ce qui aura un impact sur le montant de la récompense.
• La validité de chaque soumission ainsi que le montant des rétributions seront décidés par les gestionnaires des programmes présents sur site.