L'application de visioconférence Zoom a payé 10 millions de dollars via un programme de prime aux bogues depuis 2019 pour renforcer la sécurité

L'application de vidéoconférence Zoom a fait des progrès majeurs en renforçant ses mesures de cybersécurité grâce à un programme proactif de bug bounty. Depuis sa création en 2019, le programme a versé plus de 10 millions de dollars de récompenses, ce qui représente un investissement substantiel dans le renforcement des défenses de la plateforme. Rien qu’en 2023, Zoom a alloué environ 2,4 millions de dollars de paiements, soulignant son engagement à remédier rapidement aux vulnérabilités. Ce chiffre reflète une augmentation notable par rapport aux années précédentes, 2021 ayant vu 1,8 million de dollars de récompenses et 2022 atteignant un sommet de 3,9 millions de dollars.

Un aspect clé de la stratégie de sécurité de Zoom est son approche transparente pour remédier aux vulnérabilités. La société a émis des avis de sécurité pour 58 vulnérabilités identifiées en 2023, dont trois problèmes de gravité critique et environ deux douzaines de failles de haute gravité. Cette divulgation proactive démontre non seulement la responsabilité, mais permet également aux utilisateurs de prendre les précautions nécessaires.

De plus, Zoom a franchi une étape pionnière en introduisant son système open source de notation d'impact de vulnérabilité (VISS). Ce cadre, utilisé dans le cadre du programme Bug Bounty, offre une approche personnalisable pour évaluer et hiérarchiser les vulnérabilités en fonction de leur impact réel démontré. En mettant l’accent sur l’exploitation réelle plutôt que sur les conséquences théoriques, VISS vise à fournir une compréhension plus nuancée des risques de sécurité. Cette initiative complète les systèmes existants tels que le Common Vulnerability Scoring System (CVSS) et reflète l'engagement de Zoom en faveur de l'innovation dans les pratiques de cybersécurité.

La mise en œuvre de VISS a apporté des avantages tangibles au sein du programme de bug bounty de Zoom. Depuis son intégration, les rapports mettant en évidence des vulnérabilités critiques et de haute gravité ont augmenté. Les chercheurs investissent de plus en plus de temps et d’efforts pour démontrer les implications pratiques de leurs découvertes, contribuant ainsi à un écosystème de sécurité plus robuste.

Le programme Bug Bounty de Zoom souligne son approche proactive en matière de cybersécurité, avec des investissements substantiels et des méthodologies innovantes visant à renforcer sa plateforme contre les menaces émergentes. Grâce à des initiatives telles que VISS et la divulgation transparente des vulnérabilités, l'entreprise continue de donner la priorité à la sécurité et à l'intégrité des données et des communications de ses utilisateurs.