Discussion :

[MichaelREMY]

ps modérateur : une rubrique lettre de motivation aurait bien sa place ici je pense...

bonjour,

Voilà, plusieurs fois je trouve des bugs ou des failles de sécurités dans des interfaces web cruciales/sensibles (par exemple, ma gestion bancaire en ligne), c'est toujours par hasard je le précise.

Là encore, j'en ai trouvé une dans un grand e-marchant mondial, je lui ai envoyé un email-contact et je n'ai pas eu de réponse du tout.
Un mois après, la faille est toujours présente.

Je voudrais savoir s'il existe un moyen poli et honnête de transformer cette "découverte" en motivation pour une lettre de candidature spontanée. Sans rentrer dans le style "menace" bien-entendu, mais plus dans le style "embauchez-moi et ça vous rendra service doublement".

Il y a des employeurs qui n'aiment pas qu'on leur démontre des points qui ne fonctionnent pas (bug, imperfection, failles..Etc) et d'autres qui apprécient car ça démontre une certaine aptitude "rigoureuse et sécuritaire" et du courage.

Qu'en pensez-vous ?

Là j'ai vérifié ma "faille" trouvée, et je me demande comment la tourner en lettre de motivation.

[Glutinus]

Sérieux, je me demande des fois si tu vis chez les bisounours...

PS : Pour les lettres de motivation, tu peux poster dans la section CV. Le sous-titre est : Forum d'entraide sur la création des CV et lettres de motivation.

[Kearz]

Voilà, plusieurs fois je trouve des bugs ou des failles de sécurités dans des interfaces web cruciales/sensibles (par exemple, ma gestion bancaire en ligne), c'est toujours par hasard je le précise.

Si c'est un bugs (genre affichage, page qui charge pas, page qui crash) why not.
Mais tu trouve, par hasard, des failles chez des banques?

On peut avoir ta définition de "faille" (et de "hasard": "J'étais sur Wireshark et par hasard ... ")

Si ton métier est le test et la sécurité, oui tu peux t'en servir. Si c'est pas vraiment ton métier, mouais, tu peux toujours essayer ça mange pas de pain.

Tu peux aussi te faire de l'argent en déclarant les bugs si tu les trouve chez Google & consort. (Ou tu peux revendre les "failles" en allant par "hasard" sur le Deepweb. :p)

[yento]

[edit: message supprimé]

Rappel de l'Article 323-3 du code pénal: Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.

https://www.legifrance.gouv.fr/affic...Texte=20081105

[Grogro]

Tu vas te prendre un procès au cul surtout.

[Escapetiger]

Tu vas te prendre un procès au cul surtout.

... et probablement une descente de police à ton domicile :
Pourquoi les hackers éthiques sont-ils très mal perçus par les firmes ?

[Barsy]

Après je conçois l'absurdité de la chose. Celui qui souhaitera vraiment nuire utilisera ces failles sans le signaler au préalable.

C'est comme si l'on signalait à une entreprise un défaut dans le système anti-incendie et que celle-ci nous poursuive pour avoir voulu mettre le feu.

En fait, c'est un problème d'égo. Il y a peu de gens qui accepteront de reconnaître que le système qu'ils ont conçu ont des failles et il y a donc effectivement plus de risque à le signaler que de gain.

[MichaelREMY]

quand on dit "faille de sécurité", beaucoup pensent au pire ici.
Pour moi la sécurité c'est sur plusieurs plans :
sécurité des données privées, sécurité des process, sécurité des manipulations, ..etc, sécurité externe (par exemple ne pas faire ce qu'un concurrent fait très bien), enfin bref...


Hier je regardais un film dont je tairai le nom.
Dedans, un informaticien a trouvé un moyen de réduire le temps de connexion (le temps d'une procédure/paperasse électronique) de 30% à une agence financière.
il a transformé ce gain de temps, en valeur c-a-d en temps gagné (plutôt en temps économisé, donc en optimisation du temps de travail) par employé de l'entreprise, ça se chiffrait en milliers d'euros (sans parler de la valeur positive pour le client d'avoir "une phase" en moins dans le système).
Il contacte cette entreprise et se fait embauché.

Voilà un exemple, je sais c'est juste un film.

Mon idée n’est pas d’écrire une lettre de motivation dans le genre « j’ai trouvé un bug, embauchez-moi où je le divulgue ». Absolument pas. Pas de menace.

Mais plutôt quelque chose comme « mon expérience passée chez l’un de vos concurrents m’a permis de remarque qu’une partie de votre système peut être grandement amélioré sur le plan de la sécurité ou sur le plan de …. ».

[nnovic]

Je ne pense pas qu'on puisse comparer une optimisation et une faille de sécurité. Donc, à mon sens, ton exemple ne tient pas. Il faut se mettre deux minutes à la place des personnes que tu veux contacter: pour trouver une faille de sécurité, il faut la trouver; pour la trouver, il faut utiliser le système avec l'intention de nuire. Dans cette situation je trouve légitime que l'employeur soit sur la défensive. En étant un peu parano, on pourrait même croire à une tentative de faire pression.

[MichaelREMY]

Je ne pense pas qu'on puisse comparer une optimisation et une faille de sécurité. Donc, à mon sens, ton exemple ne tient pas. Il faut se mettre deux minutes à la place des personnes que tu veux contacter: pour trouver une faille de sécurité, il faut la trouver; pour la trouver, il faut utiliser le système avec l'intention de nuire. Dans cette situation je trouve légitime que l'employeur soit sur la défensive. En étant un peu parano, on pourrait même croire à une tentative de faire pression.

les deux sont pourtant souvent liés.
par exemple, si un process est trop gourmand, possède trop d'arcs, de charges, il peut créer un goulot, voire une saturation d'un autre service (ou matériel ou base ou disque...etc). Quand un système est surchargé il plante (ddos) ou il ne crée plus assez de valeur ajoutée ce dont pour quoi il a été mis en place (serpent qui se mord la queue) : plus de charges à gérer un point du process que l'apport de gains du process entier.

[nnovic]

Certes. Mais ça ne cadre pas avec ton exemple. Dans ton exemple, c'est le code côté client qui est optimisé, pas le code côté serveur.

Quoi qu'il en soit, le mot "optimisation" a une connotation positive, l'expression "faille de sécurité" a une connotation négative, alors je crois que la vaste majorité des employeurs se braqueront si tu cherches à monnayer ta découverte contre une embauche. C'était le sens de mon message.