La compagnie aérienne United Airlines a lancé un appel aux hackers pour dénicher les bugs de ses sites internet et de ses applications, promettant au chasseur le plus futé jusqu’à un million de miles dans son programme de fidélité. Alors que la compagnie américaine avait fait l’objet d’indignation pour avoir interdit l’accès à bord de ses avions à Chris Roberts, un chercheur qui avait justement dénoncé les failles de sécurité de son réseau wifi, son nouveau programme « Bug Bounty » promet désormais le contraire. A l’instar de grandes entreprises ou de banques soucieuses de dénicher la moindre faille dans leurs systèmes, United Airlines a décidé de faire appel aux « chercheurs indépendants » en sécurité informatique de trouver les problèmes affectant « la confidentialité, l’intégrité et ou la disponibilité des informations concernant les passagers ou la compagnie » dans les sites et applications accessibles au public. Les premiers à trouver un bug seront récompensés selon une échelle bien précise : de 50 000 miles pour des problèmes peu graves (comme le cross-site scripting, les fausses requêtes, ou les bugs liés à des tierces parties), à 250 000 miles pour des bugs plus sérieux (contournement de l’authentification, attaques brute force), et un million de miles pour le très grave (exécution de code à distance). La compagnie de Star Alliance, qui vient juste de dévoiler la version beta de son futur site web, a bien sûr précisé des règles du jeu très restrictives : pas touche aux sites de l’intranet ou surtout aux systèmes embarqués des avions – qui s’y risque sera l’objet de poursuites criminelles. Et les volontaires sont de toutes façons « triés sur le volet » : ils doivent être membres du programme de fidélisation MileagePlus (on peut s’y inscrire juste pour ça), ne pas être ressortissants de pays faisant l’objet de sanctions de la part des Etats-Unis, mais aussi ne pas être employé de United Airlines ou d’une autre compagnie de Star Alliance. Sans oublier le plus important : ne pas être l’auteur du bug « découvert »… Il semble donc que la compagnie a réservé l’examen de possibles failles de sécurité réellement graves à des experts que l’on suppose triés sur le volet, en particulier pour répondre aux alertes émises par le gouvernement américain sur la vulnérabilité des réseaux wifi en vol et des systèmes de communication. Le genre de hacker dont le salaire peut dépasser 200 000 dollars… air-journal_United site internet new