Utrecht, le 14 mars 2018 - Dans le cadre de sa Global Transparency Initiative, Kaspersky Lab étend son programme Bug Bounty avec des récompenses allant jusqu' à 100 000 USD. Celles-ci peuvent être obtenues en découvrant et en circonscrivant de graves failles de sécurité dans les produits phares de l’entreprise. Tous les membres de la célèbre plate-forme HackerOne, partenaire de Kaspersky Lab dans le cadre du programme Bug Bounty, peuvent remporter cette prime qui équivaut à vingt fois les récompenses existantes du programme. Cette évolution démontre l'engagement résolu de l'entreprise à assurer l'intégrité complète des produits et de la protection des clients.

La récompense la plus élevée est attribuée pour la découverte de bugs qui permettent l’implémentation de code externe via le canal de mise à jour de la base de données produit. Dans ce cas de figure, le démarrage du code malveillant s’effectue, en passant inaperçu, à partir de l’utilisateur, dans le cadre du processus de privilèges élevés du produit, ce qui lui permet de survivre à un redémarrage du système. Les failles de sécurité qui permettent d’autres types d’exécution de codes externes se voient accorder d’autres primes comprises entre 5 000 et 20 000 USD (selon la complexité de la faille de sécurité en question). Des primes seront également accordées pour la découverte de bugs qui permettent l’escalade des privilèges locaux ou débouchent sur la divulgation de données sensibles.

Des récompenses sont disponibles pour la découverte de problèmes de sécurité précédemment inconnus dans les produits suivants : les dernières versions bêta de Kaspersky Internet Security 2019 et de Kaspersky Endpoint Security 11 tournant sur la version 8.1 de Desktop Windows ou une version ultérieure (avec les mises à jour les plus récentes installées).

L’augmentation du montant des récompenses Bug Bounty est commentée en ces termes par Eugene Kaspersky, CEO de Kaspersky Lab : « La détection et la réparation des bugs sont des priorités pour une entreprise de logiciels comme la nôtre. Nous invitons dès lors les chercheurs en sécurité à s’assurer que nos produits ne contiennent pas de vulnérabilités. L’immunité de notre code et le plus haut niveau de protection que nous offrons à nos clients sont les principes fondamentaux de notre entreprise - et un pilier décisif de notre Global Transparency Initiative ».

Lancée en 2016, le programme Bug Bounty encourage les chercheurs en sécurité indépendants à compléter les activités de l’entreprise en matière de détection et d’atténuation des vulnérabilités. Le programme a déjà permis de résoudre plus de 70 notifications de bugs liés aux produits et aux services Kaspersky Lab, ce qui les rend encore plus sûrs.

Annoncée le 23 octobre 2017, la Global Transparency Initiative a été élaborée pour associer la communauté de la sécurité de l’information et d’autres parties prenantes à la validation et au contrôle des produits, des processus internes et des activités métier de Kaspersky Lab. Elle introduit également des mécanismes de responsabilisation supplémentaires qui permettent à l’entreprise de démontrer qu’elle gère rapidement et en profondeur tout problème de sécurité.