United offre des miles pour la découverte de failles de sécurité, sauf à bord

United serait la première compagnie aérienne à offrir une compensation aux personnes trouvant des failles de sécurité sur ses sites Web et ses applis mobiles.

C’est une pratique déjà courante dans le monde de l’informatique : Google, Facebook et Microsoft par exemple offrent déjà des centaines, voire des millions de dollars par an aux chasseurs de bogues, souvent des employés d’entreprises spécialisées, qui trouvent des bogues de sécurité.

Cela leur permet d’accélérer la recherche et la correction de bogues, et d’offrir une expérience plus sûre aux clients. C’est aussi un moyen de soutenir l’industrie de la sécurité.

À la différence de ces firmes, United n’offrira pas de récompenses en numéraire, mais en miles. De 50 000 pour des bogues XSS à 1 000 000 pour une vulnérabilité critique qui permettrait d’exécuter du code sur un système United.

Notons que ce programme exclut spécifiquement la recherche de bogues à bord d’un avion, que ce soit sur les systèmes Wi-Fi, de détente ou de l’avionique.

La compagnie a d’ailleurs récemment banni à vie Chris Robert, un expert en sécurité reconnu, de voyager sur ses lignes après un tweet malheureux.

Ce qui est inquiétant, d’une part parce que Roberts a conduit des recherches sur la sécurité à bord depuis 2009, qu’il a fait part de ses conclusions à Boing et Airbus, qui n’ont jamais répondu. D’autre part, parce qu’on sait d’expérience que la sécurité par l’obscurité n’est qu’une illusion de sécurité.