fbpx
Programme Billetterie

Le bug bounty : vraie tendance ou fausse bonne idée ?

Retour à la liste des articles

Blogueur spécialisé dans la cybersécurité et la culture geek, Korben (Manuel Dorne) interviendra à BlendWebMix pour parler du « bug bounty » : un concept permettant aux « hackers » white Hat de percevoir une récompense pour avoir pointé des défaillances de sécurité et de conception sur des sites web, notamment des failles de sécurité.

Facebook, Yahoo, Google ont mis en place des programmes de bug bounty ; quel meilleur moyen de confronter ses produits et services aux dangers auxquels ils risquent d’être exposés ?

Ce concept date de 1995 par le service technique de Netscape, ayant son origine en interne ; l’équipe technique était invitée à réaliser des « audits » des outils techniques et à signaler tout dysfonctionnement. Puis, Jarret Ridlinghafer (un des membres de l’équipe technique) a pris conscience de l’implication d’une communauté autour des produits Netscape (surtout concernant le navigateur Mosaic/Netscape/Mozilla) Il découvrit que certains, ingénieurs logiciels, « s’amusaient » corriger des bugs et publiaient leur travail sur des forums. Il décida donc de créer le 1er programme « bug bounty » : le concept était lancé !

Depuis, le phénomène est devenu mondial : Facebook, notamment, a lancé le « Facebook Bug Bounty Program » présentant un classement du nombre de bugs rapportés (pour info, l’Inde est en tête, logique puisqu’elle est le 2ème pays en nombre de chasseurs de bugs) En 2013, Facebooke et Microsoft lancent ensemble « The Internet Bug Bounty » un système de récompense à grande échelle se penchant sur les bugs touchant les infrastructures Internet de base, tels que les systèmes d’exploitation, les navigateurs web, et les logiciels Open Source.

Cependant, le revers de la médaille n’est pas négligeable ; Les grands groupes sont régulièrement critiqués sur leur programme de bug bounty, les récompenses affectées et le système de reconnaissances de bugs ; Yahoo par exemple a été affiché lors d’un « t-shirt gate » car récompensant les chercheurs ayant signalé un bug par un simple t-shirt, quand Facebook récompense en moyenne à hauteur de 2000$ par bug signalé. Uber aurait même été accusé d’être mauvais payeur sur ses campagnes de bug bounty, certains hackers leur reprochant de marquer les bugs rapportés comme « déjà signalés » avant de les corriger suite à leur rapport. (Une technique apparemment courante mais malheureusement indémêlable dans le vrai ou le faux)

Le phénomène Bug Bounty reste cependant peu plébiscité en France; en cause, la frilosité des entreprises à inciter des hackers, même White Hat, à se pencher sur leur cas (oui, nous sommes plutôt mauvais élèves en cybersécurité malgré une stratégie agressive dédiée à promouvoir les entreprises de cybersécurité et accompagner les potentielles victimes dans leur sécurisation, à l’initiative de l’Etat et l’Alliance pour la Confiance Numérique.

Ce sont donc des prestataires de cybersécurité, et non plus des communautés ou des ingénieurs internes qui prennent le pas en Bug Bounty en France : le programme est devenu un service. Cette démarche séduit notamment, outre les GAFAs et entreprises du CAC40, les acteurs bancaires, les constructeurs automobiles et les compagnies aériennes.

Cependant, une startup rouennaise, « Yes We Hack » s’est donné pour objectif de populariser le bug bounty auprès des entreprises en favorisant les contacts entre hackers éthiques et sociétés via un système de plateforme proposant des programmes dédiés. Par ailleurs, l’armée française a elle aussi lancé en début d’année son programme de bug bounty ouverts aux hackers membres de la Réserve de Cyberdéfense !

Reste dans le coin, d’autres articles sont à découvrir !
<