Bug Bounty c’est aussi bon pour la sécurité !

Les programmes de bug bounty sont de plus en plus nombreux sur la toile et sont utilisés par des grandes sociétés de la Silicon Valley comme Facebook, Yahoo!, Google, Reddit et Square.

Bug Bounty

Qu’est-ce qu’un Bug Bounty et comment ça marche ?

Un bug bounty est un programme qui fait appel et met à l’épreuve des hackers afin de détecter des failles de sécurité ou des anomalies dans le système informatique d’une entreprise. Leur but est de s’infiltrer le plus possible dans le système de l’entreprise à travers les pare-feux et de découvrir toutes les possibilités d’exploitation des failles afin d’estimer leur niveau de gravité. L’entreprise est ensuite notifiée par les hackers si une faille de sécurité a été trouvée afin de procéder à la correction de celle-ci. Ce sont en général des entreprises d’une taille conséquente qui font appel à ce genre de service afin d’améliorer leur niveau de sécurité.

Les hackers sont rémunérés suivant le niveau de difficulté de la faille de sécurité, le temps qu’ils mettent pour la découvrir, et également selon le budget que l’entreprise a alloué. Bien entendu, une cagnotte reflétant l’effort de la tâche a plus de chance de motiver les hackers.

Mais, qu’importe la taille d’une entreprise ou d’une infrastructure, il est souvent compliqué pour le créateur d’un système d’imaginer comment son produit va pouvoir être exploité.

Le premier bug bounty a été créé en 1995 par Netscape afin de trouver les faiblesses du système de sécurité de son navigateur, et donc de le renforcer. Ce bug bounty remporta un franc succès et d’autres entreprises leur ont alors emboîté le pas en créant leur propre programme pour leur logiciel.

Il existe également des plateformes de bug bounty liées à aucune société, comme la plateforme européenne bountyfactory, ouverte à toute personne désireuse de faire tester son système informatique.

Les bugs bounty peuvent être ouverts au public afin de bénéficier de l’aide de hackers de tous horizons ou peuvent également rester privés, pour cibler une communauté de hackers particulière, par souci de confidentialité, ce qui est parfois nécessaire selon les missions.

Y a-t-il des risques pour la sécurité des entreprises ?

Les bugs bounty sont des programmes qui permettent aux hackers de se mettre en concurrence et ainsi, de se faire une bonne réputation au sein de leur communauté. On parle même souvent de White Hat. Ce sont des experts en sécurité avec un code d’éthique. Leur but est justement de trouver des failles afin d’avertir l’utilisateur, l’entreprise, ou le créateur du produit. Au contraire, un Black Hat cherche une faille avec des intentions malveillantes.

Les bugs bounty permettent aux hackers de se mettre en avant publiquement, selon la qualité du travail qu’ils fournissent. Ils gagnent donc en notoriété et sont payés par l’entreprise pour leurs services. Les sommes peuvent être extrêmement intéressantes. Microsoft a payé 100 000 dollars à James Forshaw pour avoir détecté une vulnérabilité dans le système d’exploitation de Windows 8.1. Le hacker dans un bug bounty a donc un plus grand intérêt à effectuer sa mission et à rapporter la faille plutôt que de l’exploiter à des fins douteuses.

Certaines entreprises ont encore des difficultés à accepter de faire analyser et tester leur service. Peut-être par réticence à accepter sa faible qualité.

Cependant, la politique de l’autruche n’a jamais jamais fait ses preuves en matière de sécurité informatique. Il est bien plus judicieux de se prémunir d’éventuels hacks que de retrouver un jour sur internet son fichier client ou sa base de données utilisateur téléchargeables librement.

 

Source :

https://bountyfactory.io
https://www.theguardian.com/technology/2013/oct/11/microsoft-bug-hunter-100000-bounty-james-forshaw
https://fr.wikipedia.org/wiki/White_hat

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

cinq × un =