Il sera dorénavant possible pour les utilisateurs Drupal d’être récompensé pour la découverte de failles de sécurité dans Drupal 8 grâce au programme « Drupal 8 Security bug bounty ».
La sortie de Drupal 8 approche à grands pas ! Devant le nombre conséquent de modifications architecturales, l’équipe veut s’assurer que cette nouvelle version sera au même niveau de fiabilité que ses ancêtres. C’est là que l’équipe de développement appelle la communauté à la rescousse. Plus exactement, c’est l’équipe en charge de la sécurité qui met en place jusqu’au 31 aout prochain un plan d’action. Grâce au fond D8 Accelerate, il sera possible à n’importe qui de participer à la sécurisation du logiciel.
La première étape consiste naturellement a installer localement une copie de Drupal 8 (cf. instructions) et trouver une faille de type XSS, SQL, injection, CSRF par exemple. Si une faille est découverte, elle peut être ensuite soumise via www.bugcrowd.com/drupal après avoir ouvert un compte sur bugcrowd.com. Cette plateforme participative permet de répertorier les bugs découverts et de les communiquer à l’équipe de sécurité de Drupal.
L’équipe annonce que selon la faille découverte, la récompense se situera entre 50 et 1000 dollars. Logiquement, plus le problème relevé est critique, plus le paiement sera élevé. Les failles doivent dans un premier temps être confirmées par un membre de l’équipe de sécurité. La soumission devra être accompagnée d’une description détaillée de la faille et toutes les étapes pour la reproduire. La qualité de ces explications sera prise en compte au moment d’assigner une valeur à la découverte. Ce programme ne concerne que Drupal 8 et les failles concernant Drupal 7 peuvent toujours être soumises via le processus habituel.
La soumission ne sera pas validée si l’exploit nécessite que l’attaquant possède des droits administrateurs. Certaines failles comme les attaques liées à des défaillances SSL sont exclues du programme. La liste détaillée des failles exclues est disponible à l’adresse suivante : https://www.drupal.org/drupal8-security-bounty.