Bug Bounty Synology : Fabien nous raconte comment il a gagné 3000$…

Dans le cadre de sa politique de sécurité et de protection des données, Synology a mis en place son Bug Bounty. Il s’agit d’un programme offrant à quiconque la possibilité de remonter une faille de sécurité/vulnérabilité au fabricant. Si vous remplissez toutes les conditions, Synology peut offrir une récompense allant de 50 à 10.000$. Aujourd’hui, nous vous proposons le témoignage de Fabien. Il est utilisateur de NAS Synology de longue date. Il n’est pas chercheur ni expert en sécurité. Pourtant, il a trouvé une faille importante. Il l’a remontée à Synology et il a décroché un gain de 3000$. Aujourd’hui, nous vous proposons son témoignage…

Bonjour Fabien, peux-tu te présenter rapidement ?

Salut FX. Je suis Fabien et j’ai 41 ans. Je travaille dans l’informatique depuis plus de 15 ans. Je suis client Synology depuis de nombreuses années, quasiment depuis le début. J’ai toujours été très actif auprès de la communauté. De plus, je remonte régulièrement des bugs et des demandes de nouvelles fonctionnalités à Syno.

Peux-tu nous parler de ton expérience au Bug Bounty Synology ?

Dès 2017, j’ai remonté des anomalies… mais le programme Synology est très strict. Il faut que ce soit une vulnérabilité qui respecte un certain nombre de critères. Tout est décrit sur le site du constructeur, mais attention c’est en anglais. Je tiens à préciser que tous les échanges se font en anglais. J’ai remonté plusieurs anomalies/bugs qui étaient pour moi légitimes, mais pas pour Syno : « Désolé, il ne s’agit pas d’une vulnérabilité. Le logiciel a été développé de cette manière et il n’y a pas de risque avéré » ou encore « Désolé, cette vulnérabilité a déjà été découverte et sera corrigée dans une prochaine version de DSM ».

Jusqu’au jour où…

J’envoie mon mail détaillant une vulnérabilité qui me semble vraiment importante. Pour rappel, l’envoi de votre découverte doit se faire par mail chiffré. On est le soir, il doit être genre 23h. Le lendemain matin, j’ai une réponse de Syno « Nous apprécions votre rapport. Cette vulnérabilité fait actuellement l’objet d’une enquête. Nous vous contacterons s’il y a des questions concernant votre PoC (NDLR : Proof of Concept/démonstration de faisabilité )« . De nature, je ne suis pas quelqu’un de patient. Je renvoie un mail après 6 jours pour avoir des nouvelles.

La réponse est toujours aussi rapide, le lendemain : « Nous avons déjà transmis votre mail à l’équipe correspondante. Nous enquêtons toujours sur cette vulnérabilité. Si nous avons des questions au sujet de votre PoC, nous vous enverrons un autre mail. » Ça sent plutôt bon. Après 2 semaines de patience, toujours rien. Je fais mon gros lourd et j’envoie un nouveau mail.

3 jours plus tard, j’ai une réponse de l’équipe de sécurité de Synology : « Nous apprécions vraiment vos rapports de sécurité pour aider Synology à améliorer la sécurité de ses produits. Les membres de notre équipe travaillent actuellement sur un correctif pour cette faille. Nous vous contacterons dès que nous l’aurons corrigé. De plus, nous aimerions mettre votre nom sur notre page de remerciements pour exprimer notre reconnaissance. Veuillez fournir votre nom et un site Web optionnel« . C’est la confirmation ! Je réponds au mail, mais je ne suis pas intéressé pour apparaître sur la page des remerciements. Je patiente encore 1 semaine et je fais encore une relance. La réponse arrive 2 semaines plus tard : « Désolé pour la réponse tardive. Nous discutons de la récompense monétaire, nous vous contacterons dès que nous aurons une conclusion. »

1 semaine plus tard, je reçois le mail final : « Nous avons décidé de vous offrir une récompense de 3000 USD pour vos efforts et de prendre à notre charge 20% de l’impôt sur le revenu des particuliers prélevé pour la récompense. » Alleluia ! J’envoie les informations bancaires demandées, mon adresse postale, mon identifiant fiscal et d’autres informations. 2 jours plus tard, Synology m’informe : « Nous avons reçu vos informations et nous commençons le processus de paiement, votre récompense sera transférée sur votre compte bancaire sous 8 semaines« . Dans ce laps de temps, je n’ai pas le droit de parler de la vulnérabilité sous peine de ne pas avoir le droit à la récompense. Au final, entre la conversion $ vers € et les frais bancaires… j’ai touché un peu plus de 2550€. Très très sympa !

Peux-tu nous en dire un peu plus sur cette faille de sécurité ?

Sans rentrer dans le détail, elle permettait à un utilisateur non connecté d’accéder à certaines données contenues dans le NAS. Je n’en dirai pas plus.

Merci Fabien pour ce témoignage, un dernier mot ?

Les conditions pour prétendre à une récompense sont nombreuses et le montant est au bon vouloir de Syno. Mais c’est possible, j’en suis la preuve. La récompense est vraiment sympa, quand on y a droit. Par contre, il faut être patient. Entre mon premier mail et la réception de la somme d’argent, j’ai attendu près de 4 mois. Longue vie à Cachem.