Liste des TOP programmes et sites Web Bug Bounty (mise à jour de janvier 2025)
Meilleurs programmes/entreprises de Bug Bounty
Vous trouverez ci-dessous une liste organisée de programmes de primes proposés par des entreprises réputées.
1) Intel
Le programme de primes d'Intel cible principalement le matériel, les micrologiciels et les logiciels de l'entreprise.
Limitations: Cela n’inclut pas les acquisitions récentes, l’infrastructure Web de l’entreprise, les produits tiers ou tout ce qui concerne McAfee.
Paiement minimum: Intel offre un montant minimum de 500 $ pour trouver des bogues dans son système.
Paiement maximum: La société paie un maximum de 30,000 $ pour la détection de bogues critiques.
Lien de prime : https://security-center.intel.com/BugBountyProgram.aspx
2) Yahoo
Yahoo dispose de son équipe dédiée qui accepte les rapports de vulnérabilité des chercheurs en sécurité et des pirates informatiques éthiques.
Limitations: La Société n'offre aucune récompense pour la découverte de bogues dans les blogs WordPress exploités par Yahoo.net, Yahoo 7 Yahoo Japan, Onwander et Yahoo.
Paiement minimum: Il n'y a pas de limite définie sur Yahoo pour le paiement minimum.
Paiement maximum: Yahoo peut payer 15000 $ pour détecter des bogues importants dans son système.
Lien de prime :https://safety.yahoo.com/Security/REPORTING-ISSUES.html
3) Snapchat
L'équipe de sécurité de Snapchat examine tous les rapports de vulnérabilité et agit en conséquence en les divulguant de manière responsable. L'entreprise, nous accuserons réception de votre soumission dans les 30 jours.
Paiement minimum: Snapchat paiera au minimum 2000 $.
Paiement maximum: Le maximum qu'ils paieront est de 15,000 $.
Lien de prime :https://support.snapchat.com/en-US/i-need-help
4) Cisco
Cisco encourage les individus ou les organisations rencontrant un problème de sécurité d'un produit à le signaler à l'entreprise.
Paiement minimum: Ciscole montant minimum du paiement est de 100 $.
Paiement maximum: L'entreprise consacrera au maximum 2,500 $ à la découverte de vulnérabilités graves.
Lien de prime : https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html
5) Dropbox
Dropbox Le programme de primes permet aux chercheurs en sécurité de signaler des bugs et des vulnérabilités sur le service tiers HackerOne.
Paiement minimum: Le montant minimum payé est de 12,167 $.
Paiement maximum: Le montant maximum offert est de 32,768 $.
Lien de prime : https://help.dropbox.com/accounts-billing/security/how-security-works
6) pomme
Lorsque Apple a lancé pour la première fois son programme de bug bounty, il n'autorisait que 24 chercheurs en sécurité. Le cadre s'est ensuite élargi pour inclure davantage de chasseurs de bug bounty.
L'entreprise paiera 100,000 $ à ceux qui pourront extraire des données protégées par la technologie Secure Enclave d'Apple.
Paiement minimum: Il n'y a pas de montant limité fixé par Apple Inc.
Paiement maximum : La prime la plus élevée accordée par Apple est de 200,000 dollars pour les problèmes de sécurité affectant son micrologiciel.
Lien de prime : https://support.apple.com/en-in/102549
7) Facebook
Dans le cadre du programme Bug Bounty de Facebook, les utilisateurs peuvent signaler un problème de sécurité sur Facebook, Instagram, Atlas, WhatsApp, etc.
Limitations: Il existe quelques problèmes de sécurité que la plateforme de réseautage social considère comme hors limites.
Paiement minimum: Facebook paiera un minimum de 500 $ pour une vulnérabilité divulguée.
Paiement maximum: Il n'y a pas de limite supérieure fixée par Facebook pour le paiement.
Lien de prime : https://www.facebook.com/whitehat/
8)Google
Tous les contenus des sites .google.com, .blogger et youtube.com sont ouverts au programme de récompense des vulnérabilités de Google.
Limitations: Ce programme de primes couvre uniquement les problèmes de conception et de mise en œuvre.
Paiement minimum: Google paiera au minimum 300 $ pour trouver des fils de sécurité.
Paiement maximum: Google paiera la prime la plus élevée, soit 31.337 $, pour les applications Google normales.
Lien de prime : https://www.google.com/about/appsecurity/reward-program/
9) Quora
Quora propose le programme Bug Bounty à tous les utilisateurs et chercheurs pour rechercher et signaler les vulnérabilités de sécurité.
Paiement minimum: Quora paiera au minimum 100 $ pour trouver des vulnérabilités sur son site.
Paiement maximum: Le paiement maximum offert par ce site est de 7000 $.
Lien de prime : https://engineering.quora.com/Security-Bug-Bounty-Program
10)Mozilla
Mozilla récompense les découvertes de vulnérabilités par des pirates informatiques éthiques et des chercheurs en sécurité.
Limitations: La prime est offerte uniquement pour les bogues des services Mozilla, tels que Firefox, Thunderbird et d'autres applications et services associés.
Paiement minimum: Montant minimum donné par Firefox est 500 $.
Paiement maximum: La Société paie un maximum de 5000 $.
Lien de prime : https://www.mozilla.org/en-US/security/bug-bounty/
11) Microsoft
MicrosoftLe programme actuel de bug bounty a été officiellement lancé le 23 septembre 2014 et ne concerne que les services en ligne.
Limitations: La récompense de la prime n'est accordée que pour les vulnérabilités critiques et importantes.
Paiement minimum: Microsoft prêt à payer 15,000 $ pour trouver des bogues critiques.
Paiement maximum: Le montant maximum peut être de 250,000 $.
Lien de prime : https://technet.microsoft.com/en-us/library/dn425036.aspx
12) OpenSSL
OpenSSL Bounty vous permet de signaler des vulnérabilités à l'aide d'un courrier électronique sécurisé (clé PGP). Vous pouvez également signaler des vulnérabilités à l'adresse OpenSSL Comité de gestion.
Paiement minimum: La société verse des primes minimales de 500 $.
Paiement maximum: Le montant le plus élevé versé par l’entreprise est de 5000 $.
Lien de prime : https://www.openssl.org/news/vulnerabilities.html
13) Vimeo
Vimeo accueille favorablement tout rapport de vulnérabilité de sécurité dans ses produits, car l'entreprise verse de bonnes récompenses à cette personne.
Paiement minimum: La Société paiera un minimum de 500 $
Paiement maximum: Le montant maximum payé par cette entreprise est de 5000 $.
Lien de prime : https://vimeo.com/about/security
14) Apaches
Apache encourage les pirates informatiques éthiques à signaler les vulnérabilités de sécurité sur l'une de leurs listes de diffusion de sécurité privée.
Paiement minimum: Le montant minimum de paiement donné par Apache est de 500 $.
Paiement maximum: Cette entreprise peut offrir une récompense maximale de 3000 $.
Lien de prime : https://www.apache.org/security/
15) Twitter
Twitter informe les chercheurs et les experts en sécurité des éventuelles vulnérabilités de sécurité de leurs services. L'entreprise encourage les gens à trouver des bugs.
Paiement minimum: Twitter paie un montant minimum de 140 $.
Paiement maximum: Le montant maximum payé par l'entreprise est de 15000 $.
Lien de prime : https://support.twitter.com/articles/477159
16) Avast
Avast Le programme de primes récompense les pirates informatiques éthiques et les chercheurs en sécurité qui signalent, entre autres problèmes, l'exécution de code à distance, l'élévation des privilèges locaux, le DOS, le contournement du scanner.
Paiement minimum: Avast peut vous verser le montant minimum de 400 $.
Paiement maximum: Le montant maximum offert par l'entreprise est de 10,000 $.
Lien de prime : https://www.avast.com/bug-bounty
17) PayPal
Le service de passerelle de paiement Paypal propose également des programmes de bug bounty pour les chercheurs en sécurité.
Limitations:
Vulnérabilités dépendantes de techniques d'ingénierie sociale, En-tête de l'hôte
Déni de service (DOS), charge utile définie par l'utilisateur, usurpation de contenu sans liens/HTM intégrés et vulnérabilités nécessitant un appareil mobile jailbreaké, etc.
Paiement minimum: Paypal peut payer au minimum 50 $ pour détecter des failles de sécurité dans son système.
Paiement maximum: Le montant maximum du paiement accordé par Paypal est de 10000 $.
Lien de prime : https://hackerone.com/paypal
18) Git Hub
GitHub gère un programme de primes aux bogues depuis 2013. Chaque participant retenu a gagné des points pour ses soumissions de vulnérabilités en fonction de la gravité.
Limitation:
Le chercheur en sécurité ne recevra cette prime que s'il respecte les données des utilisateurs et n'exploite aucun problème pour produire une attaque susceptible de nuire à l'intégrité des services ou des informations de GitHub.
Paiement minimum: Github paie un montant minimum de 200 $ pour trouver des bugs.
Paiement maximum: Github peut payer 10000 $ pour trouver des bogues critiques.
Lien de prime : https://bounty.github.com/
19) Uber
Le programme de récompense des vulnérabilités d'Uber se concentre principalement sur la protection des données des utilisateurs et de ses employés.
Paiement minimum: Il n’y a pas de montant minimum prédéterminé.
Paiement maximum: Uber vous paiera 10,000 $ pour détecter des problèmes de bogues critiques.
Lien de prime : https://eng.uber.com/bug-bounty-map/
20) Magento
Le programme de primes Magneto vous permet de signaler les failles de sécurité des logiciels ou des sites Web Magneto.
Limitations:
Les recherches de sécurité effectuées ne sont pas éligibles à la prime.
- Déni de service potentiel ou réel des applications et systèmes Magento.
- Utilisation d'un exploit pour visualiser des données sans autorisation.
- Tests automatisés/scriptés des formulaires Web
Paiement minimum: Le montant minimum du paiement pour ce programme de primes est de 100 $.
Paiement maximum: Magento paie un maximum de 10,000 $ pour trouver des bogues critiques.
Lien de prime : https://magento.com/security
21) Perl
Perl exécute également des programmes de bug bounty. Si quelqu'un découvre une faille de sécurité dans Perl, il peut contacter l'entreprise.
Paiement minimum: La Société verse un montant minimum de 500 $.
Paiement maximum: Le montant le plus élevé donné par Perl est de 1500 $.
Lien de prime : http://perldoc.perl.org/perlsec.html#SECURITY-VULNERABILITY-CONTACT-INFORMATION
22) PHP
PHP permet aux hackers éthiques de trouver un bug dans leur site.
Limitations: Vous devez vérifier la liste des bugs déjà détectés. Si vous ne suivez pas cette instruction, votre bug n'est pas pris en compte.
Paiement minimum: Le montant minimum du paiement est de 500 $.
Paiement maximum: PHP donne un maximum de 1500 $ pour la recherche de bogues importants.
Lien de prime : https://bugs.php.net/report.php?bug_type=Security
23) Starbucks
Starbucks gère un programme Bug Bounty pour protéger ses clients. Ils encouragent à détecter des activités malveillantes dans leurs politiques de réseaux, d’applications Web et mobiles.
Paiement minimum: Le montant minimum payé par Starbucks 100 $.
Paiement maximum: Le montant maximum va jusqu'à 4000 $.
Lien de prime : https://www.starbucks.com/whitehat
24) AT&T
AT&T dispose également de sa chaîne de chasse aux bogues. Les développeurs et les experts en sécurité peuvent rechercher les différentes plates-formes telles que les sites Web, les API et les applications mobiles.
Paiement minimum: Le montant minimum payé par eux est de 500 $.
Paiement maximum: Il n’y a pas de limite supérieure pour le paiement.
Lien de prime : https://hackerone.com/att?type=team
25) LinkedIn
LinkedIn accueille les chercheurs individuels qui apportent leur expertise et leur temps pour trouver des bugs.
L’entreprise vous récompensera, mais ni le montant minimum ni le montant maximum ne constituent une solution à cet effet.
Lien de prime : https://security.linkedin.com/posts/2015/private-bug-bounty-program
26) Paiement
Paytm invite des groupes de sécurité indépendants ou des chercheurs individuels à l'étudier sur toutes les plateformes
Limitations:
- Rapports indiquant que le logiciel est obsolète/vulnérable sans « preuve de concept ».
- Problèmes XSS qui affectent uniquement les navigateurs obsolètes.
- Empilez des traces qui divulguent des informations.
- Tout problème de fraude
Paiement minimum: La société paiera au minimum 15 $ pour la recherche de bogues.
Paiement maximum: Cette société ne fixe pas de plafond.
Lien de prime : https://paytm.com/offer/bug-bounty/
27) Shopify
De Shopify Le programme Whitehat récompense les chercheurs en sécurité pour leurs découvertes graves les failles de sécurité
Paiement minimum: Le montant minimum payé par Shopify est de 500 $.
Paiement maximum: Il n’y a pas de limite supérieure fixe pour le paiement de la prime.
Lien de prime : https://www.shopify.in/whitehat
28) WordPress
WordPress invite également les chercheurs en sécurité à signaler les bogues qu'ils ont trouvés.
Paiement minimum: WordPress paie minimum 150 $ pour signaler des bogues sur son site.
Paiement maximum: La Société ne fixe pas de limite maximale pour verser une prime.
Lien de prime : https://make.wordpress.org/core/handbook/testing/reporting-bugs/
29) Zomato
Zomato aide les chercheurs en sécurité à identifier les problèmes liés à la sécurité du site Web ou des applications de l'entreprise.
Paiement minimum: Zomato paiera au minimum 1000 $ pour trouver des bogues importants.
Paiement maximum: Il n’y a pas de montant fixe maximum.
Lien de prime : https://www.zomato.com/policies/security/
30) Projet Tor
Le programme de bug bounty de Tor Project couvre deux de ses services principaux : son démon réseau et son navigateur.
Limitation: OpenSSL les candidatures sont exclues de ce périmètre.
Paiement minimum: Le montant minimum payé par eux est de 100 $.
Paiement maximum: La société vous paiera un maximum de 4000 $.
(Aucun lien disponible) Lien Bounty : security@lists.torproject.org
31) Hackérone
HackerOne est l'une des plus grandes plateformes de coordination des vulnérabilités et de bug bounty. Il aide les entreprises à protéger les données de leurs consommateurs en travaillant avec la communauté mondiale des chercheurs pour identifier les problèmes de sécurité les plus pertinents. De nombreuses entreprises connues comme Yahoo, Shopify, PHP, Google, Snapchat et Wink font appel à ce site Web pour récompenser les chercheurs en sécurité et les pirates éthiques.
Lien de prime : https://hackerone.com/bug-bounty-programs
32) Foule d'insectes
Une plateforme puissante reliant la communauté mondiale des chercheurs en sécurité au marché de la sécurité. Ce site vise à fournir à leurs clients du monde entier la bonne combinaison et le bon type de chercheurs adaptés au site Web spécifique. Les pirates doivent simplement sélectionner leurs rapports sur ce site, et s'ils peuvent détecter les bons bugs, l'entreprise concernée paiera le montant à cette personne.
Lien de prime : https://www.bugcrowd.com/bug-bounty-list/