Bug Bounty France : Explications

Quand la chasse est ouverte

par | 6 Mai 2020 | Découvrir

Pour faire écho à notre série d’articles sur les hackers, abordons aujourd’hui l’univers Bug Bounty France. Non, il ne s’agit pas d’un cafard qui aurait mangé une barre chocolatée, mais d’une vaste partie de chasse aux bugs. Le principe est assez simple, il s’agit d’une invitation officielle et rémunératrice faite aux hackers par des sites internet ou des développeurs de logiciels dans le but de découvrir des potentiels bugs ou des failles de sécurité. Ces programmes permettent de découvrir et de résoudre des bugs avant que le grand public ne les subisse ou en ait connaissance.

C’est nouveau ?

C’est un des pionniers d’Internet qui a lancé le principe au milieu des années 90. Netscape Communication, connu pour son navigateur, fédérait à l’époque une communauté zélée d’ingénieurs très inspirés. Ces fans comptaient également des employés de l’entreprise. À cette époque, un des responsables du service technique eut l’idée de mettre en place le premier programme de Bug Bounty. Les employés étaient encouragés à aller encore plus loin dans la recherche de bugs et de failles de sécurité au moyen de primes. Internet était également invité à faire de même par l’intermédiaire des forums consacrés à Netscape et de nombreux sites non-officiels.

Le succès d’un tel programme perdure encore aujourd’hui. Il n’y a pas que les entreprises qui en proposent, mais également, certains gouvernements et les armées. La France, également, dispose de ses propres programmes de chasse aux bugs et aux vulnérabilités (Bug Bounty France).

Ce ne sont pas les entreprises ou les développeurs des logiciels testés qui sont les principaux acteurs d’un programme Bug Bounty, ce sont les hackers. Ils portent d’ailleurs différents noms, chercheurs ou encore hunters (chasseurs). Les hackers sont alors considérés comme non-hostiles et portent le nom de hackers éthiques quand ils œuvrent à la découverte d’une faille de sécurité. Même s’ils sont rémunérés pour leurs découvertes, le défi que constituent certains programmes de Bug Bounty suffit à en motiver plus d’un.

logo hackers

Les entreprises n’ont-elles pas déjà leurs propres prestataires en matière de sécurité ?

L’intérêt des programmes de Bug Bounty réside essentiellement dans le fait qu’une entreprise dispose, en théorie, d’un nombre très élevé de hackers motivés aux compétences multiples 24 h sur 24 et disséminés dans le monde entier. Les hunters les plus actifs sont respectivement en Inde, en Russie et aux Etats-Unis.

Le Bug Bounty est devenu rapidement un standard en matière de cybersécurité. En effet, si les sociétés prestataires en matière d’audit de sécurité auront toujours leur utilité, leurs missions sont généralement axées sur des points bien spécifiques. Les programmes de Bug Bounty sont beaucoup plus ouverts et encouragent la créativité.

Au départ, l’idée de convier des hackers à venir forcer leurs systèmes avait de quoi rebuter bon nombre de chefs d’entreprise, mais les découvertes ainsi que le nombre important de reports de vulnérabilités système d’une grande pertinence ont fini par convaincre les derniers sceptiques. En France, les programmes de Bug Bounty ont commencé à se démocratiser à partir de 2015.

 

Comment ?

C’est essentiellement la sécurisation des données sensibles qui motive les entreprises à avoir recours à des chercheurs. Si des géants comme Microsoft, Facebook ou encore Google peuvent se permettre de coordonner et d’administrer un programme de Bug Bounty par eux-mêmes, ce n’est pas le cas pour toutes les entreprises. En effet, il existe des plateformes qui permettent la mise en place de ces parties de chasse. En Europe, les plateformes YesWeHack et Yogosha sont des références reconnues qui permettent aux entreprises de lancer leur programme de Bug Bounty et aux hunters d’être informés qu’un nouveau challenge les attend.

Bug Bounty France : logo de YesWeHack

Quelles sont les règles du jeu ?

Les programmes de Bug Bounty sont soumis à des règles strictes, ne pas s’y soumettre pour un hacker constitue une violation et pourrait avoir pour conséquence de ne toucher aucune compensation financière ou d’être tout simplement banni.
Un chercheur doit veiller à ne pas détériorer les biens ou les données pendant ses tests d’intrusion. Toutes les vulnérabilités qui sont signalées doivent être directement exploitables. Même s’il existe un barème concernant les primes, le montant de celles-ci est directement soumis à la discrétion de la société qui a lancé le programme de chasse.

Chaque rapport doit être accompagné d’une déclaration de principe et d’une description détaillée avec les étapes à suivre. Le pentesteur* doit également expliquer en quoi la faille qu’il a détectée peut affecter les données d’un utilisateur et/ou le bon fonctionnement d’une application/logiciel/système.

illustration noix de coco : Bug Bounty France

Pour conclure

Invisible pour le grand public, cet éternel ballet, cette chasse sans fin apporte son lot d’avantages pour les internautes. En effet, bon nombre d’applications et de services sécurisés ne pourraient pas l’être sans ce type d’initiatives. Pour le mois d’avril 2020, PureVPN a lancé un programme de Bug Bounty par l’intermédiaire de la plate-forme Bugcround. En Mai, Olvid, la messagerie instantanée chiffrée française et l’application StopCovid ont ouvert leur code aux hunters de chez YesWeHack.

 

*Pentesteur : Hacker qui explore différents scénarios d’intrusion dans un système d’informations.

Share This