Le géant chinois de la technologie Tencent a annoncé cette semaine qu’il était prêt à offrir des récompenses allant jusqu’à 140 000 $ pour les vulnérabilités critiques trouvées dans ses systèmes d’exploitation TencentOS tiny et TencentOS Server.

À la mi-avril, Tencent a informé les pirates du chapeau blanc qu’il s’était associé à HackerOne pour un programme de primes aux bogues avec des récompenses allant jusqu’à 15 000 $.

La société a maintenant annoncé qu’elle étend son programme de primes aux bogues pour couvrir ses systèmes d’exploitation. Cette initiative ne se poursuivra cependant que jusqu’à la fin de 2020.

TencentOS Server, alias Tencent Linux et Tlinux, est une distribution Linux conçue pour les applications de serveur cloud. TencentOS tiny est un système d’exploitation pour les appareils Internet des objets (IoT). Ils sont tous deux devenus open source au cours de la dernière année.

Les chercheurs peuvent gagner jusqu’à 140 000 $ s’ils trouvent des vulnérabilités critiques qui peuvent être exploitées pour l’exécution de code à distance avec des autorisations root, ou pour échapper à une machine virtuelle et obtenir un shell sur l’hôte avec des privilèges root.

Les vulnérabilités de gravité élevée peuvent rapporter jusqu’à 40 000 $ aux chasseurs de primes aux bogues. Il s’agit notamment des bogues locaux d’élévation de privilèges qui peuvent être exploités pour élever les autorisations de root, et des failles de déni de services (DoS) – à la fois distantes et locales – qui peuvent entraîner la panne d’un serveur ou d’une machine virtuelle hôte.

Pour les autres types de vulnérabilités, les pirates peuvent gagner deux fois la récompense généralement offerte par le biais du programme de primes aux bogues de Tencent. Les vulnérabilités des composants tiers utilisés par ces systèmes d’exploitation ne sont pas couvertes.

La société chinoise travaille avec HackerOne pour permettre aux chercheurs inscrits sur la plate-forme de bug bounty de tester ses produits, et les récompenses sont versées via HackerOne. Cependant, le programme lui-même est hébergé par le Tencent Security Response Center (TSRC) et les failles de sécurité doivent être soumises directement à TSRC.

Tencent a rapporté jeudi que 50 chercheurs ont soumis des vulnérabilités éligibles dans …