J’ai reçu hier via le formulaire de contact de ma boutique WooC perso le message suivant
Hi,
My name is Koutrouss, I'm a freelance security researcher.
Just wondering if you have a bug bounty program, do you give cash reward for vulnerabilities found on echodesplugins.li-an.fr website ?
if yes, in case you have that, where can I report issues to you ?Best Regards,
Koutrouss
On remarquera que la personne en question a fait un assez long chemin pour me contacter puisqu’il a utilisé le formulaire d’un autre site (mais tous les deux en sous-domaine) que celui dont il voulait me parler. Pour ceux qui maîtrisent mal la langue de Taylor Swift, M.Koutrouss Naddara m’annonce avoir trouvé une faille de sécurité sur mon site et s’enquiert de savoir s’il y a un programme de récompense lié à ce genre de choses. En effet, de nombreuses institutions et certains sites paient les développeurs qui trouvent des failles. Mais dans le cas présent, cela ressemble plutôt à une tentative d’escroquerie. Il y a très peu de chance qu’un particulier comme moi ait un budget dédié et les mises à jour automatisées de mes sites plus la solution de sécurité mise en place limitent grandement les possibilités d’une faille (sans compter que je suis l’actualité sécurité de WordPress).
C’est en gros ce que j’ai répondu à M.Naddara : si faille il y avait, il pouvait contacter les développeurs des extensions et du thème utilisé (j’ai bien un peu de code perso mais il est très basique). Et si c’était une tentative d’escroquerie, il pouvait aller (compléter par votre injure préférée).
Un peu de recherche montre que cette personne est très probablement un escroc qui fait feu de tout bois, puisqu’on le retrouve ici https://www.eclipse.org/lists/security/msg00023.html. On trouve néanmoins un Kotros Nadara remercié pour avoir notifié une faille de sécurité dans CPanel en 2013 et dans Oracle en 2014.