Si vous n’y connaissez rien en sécurité informatique, n’imaginez pas que le Bug Bounty est une énième barre chocolatée. En réalité, les Bug Bounties sont des programmes pour la recherche de failles de sécurité. Et ils sont devenus essentiels, tant pour les institutions que pour les structures privées ou associatives de toute taille. Autour du Bug Bounty et de ses plateformes de crowdsourcing, c’est tout un écosystème et un marché de la sécurité qui se structurent.
Avec le modèle Bug Bounty, la cybersécurité reste dans les mains des hackers. Mais ceux-là n’ont rien à se reprocher, au contraire. Pour répondre à leurs besoins et recruter les profils adéquats, les organisations s’adressent à des communautés de spécialistes et/ou des plateformes dédiées à la cybersécurité. Elles regroupent des chercheurs, appelés aussi ‘’hackers blancs’’ ou ‘’whitehat’’, qui s’inscrivent ou sont sélectionnés pour leurs compétences et leur renommée et qui mettent en avant l’expertise des professionnels, comme le souligne le Directeur général de Digital Security.
« Ce type de programme est une très bonne idée, car il permet à nos experts en sécurité de démontrer leur talent, d’être primés, sans craindre le risque de débauchage » Cédric Messeguer, Digital Security /Econocom.
Ces spécialistes de la traque des failles informatiques interviennent en tâche de fond sur le périmètre de test choisi par l’organisation (web, application mobile, infrastructure, etc.) selon leurs champs de compétences. Ils émettent des rapports, dénichent régulièrement des failles critiques. Et ils sont rémunérés par les récompenses proposées par le programme. Ces émoluments varient selon le degré de criticité de leurs découvertes, de quelques euros à plusieurs milliers.
Le Bug Bounty en mode public ou privé
Ces programmes Bug Bounty peuvent être lancés selon 2 modalités différentes : publique ou privée.
En version publique, l’organisme demandeur annonce son programme sur Internet et tout hacker intéressé peut se mettre à plancher selon les critères définis. Le navigateur Netscape est à l’origine de la formule. C’était en 1995 pour améliorer la sécurisation des recherches utilisateurs. Depuis, beaucoup de programmes ont vu le jour :
- Google Vulnerability Rewards, Android Security Rewards, SOS Mozilla
- Tesla pour ses voitures connectées et de nombreux autres constructeurs automobiles
- Ceux des fabricants d’objets connectés comme Fitbit
- Celui de l’armée américaine : elle a lancé son premier Bug Bounty ‘’Hack the Army’’ fin 2016 pendant 3 semaines. Il en est ressorti quelque 400 rapports et la découverte de 118 failles critiques.
- Etc.
En mode privé, l’organisme demandeur de tests d’intrusion mandate une structure tierce comme une plate-forme de Bug Bounty qui garantit l’expertise et la discrétion. Ce type de service permet de filtrer pour le client les résultats. Des sociétés classiques d’audit informatique proposent maintenant ce type de prestations, avec la souplesse de la formule Bug Bounty.
Quels avantages pour les entreprises ? En mode public ou privé, cette approche de la sécurité informatique est moins coûteuse qu’un audit traditionnel, souvent réservé aux plus grandes entreprises. Les PME peuvent bénéficier ainsi d’expertises pointues ou ponctuelles et sur un périmètre restreint ou non. Pour les organisations, la régularité de la surveillance est aussi un nouvel atout, comme le promeut le célèbre bloggeur Korben.
« Là où un audit intervient une à deux fois par an, sur une durée de quelques jours, le Bug Bounty permet de profiter d’une veille agile et constante 7j/7j, 24h/24h, et cela même si votre code évolue. » Korben.info
Les plateformes crowdsourcing de Bug Bounty
D’abord apparues aux USA, les plateformes d’intermédiation ont fait leur apparition au cours des 2 dernières années en Europe. Elles recrutent des hackers, proposent leurs services en se rémunérant au pourcentage. Elles exploitent le Bug Bounty en mode public et privé. Voici les plateformes qui font souvent parler d’elles :
- YES WE H4CK : c’est une plate-forme européenne (en 4 langues) de recrutement avec plus de 2300 experts en cybersécurité inscrits selon le site. Elle affiche un job board pour les offres d’emploi et répertorie, via un agrégateur de bugbounty mondial FIREBOUNTY, plus de 650 Bug Bounties dans le monde entier.
- BountyFactory.io : plateforme de bug bounty proposée par YesWeHack et partenaire de Digital Security, est uniquement axée sur les programmes de recherche de vulnérabilités « selon les règles et les principes et la législation dans l’espace économique européen ». Toute organisation peut y ouvrir son programme Bug Bounty en quelques clics. Elle affiche 5 programmes publics et 14 privés en cours. Et depuis son lancement, c’est devenu l’outil de référence du moteur de recherche français Qwant. YES WE H4CK a reçu le coup de cœur du jury au FIC 2017 pour sa plateforme BountyFactory.io.
- Yogosha : c’est une plate-forme française créée en 2015, Grand prix de l’innovation de la ville de Paris 2016 dans la catégorie ‘’services aux entreprises’’.
- HackerOne: plate-forme localisée à San Francisco et développée en 2012. C’est une joint venture avec parmi ses entreprises fondatrices : Facebook, Microsoft et Google.
- Bugcrowd: d’origine australienne, basée maintenant à San Francisco, Bugcrowd a vu le jour en 2012. La plate-forme opère en mode public et privée.
Sources : JDN, emedia, Numerama, Silicon/US Army, Silicon/BountyFactory, Korben
