Pour renforcer notre série d’articles sur l’histoire de l’hacking, explorons aujourd’hui l’univers du Bug Bounty. Contrairement à ce que l’on pourrait penser, ce n’est pas une référence à une bestiole qui aurait avalé une barre de chocolat, mais plutôt à une chasse aux vulnérabilités informatiques.

Qu’est-ce qu’un Bug Bounty ?

Un bug bounty est une invitation rémunérée et officielle que les entreprises lancent aux hackers pour découvrir des bugs potentiels et/ou des failles de sécurité dans leurs systèmes. Grâce à ces programmes, les problèmes peuvent être détectés et résolus avant d’être connus ou subis par le grand public.

On parle aussi de programme de bug bounty.

Est-ce que c’est nouveau les programmes de Bug Bounty ?

C’est un des pionniers d’Internet qui a lancé le principe au milieu des années 90. Netscape Communication, connu pour son navigateur, fédérait à l’époque une communauté zélée d’ingénieurs très inspirés. Ces fans comptaient également des employés de l’entreprise. À cette époque, un des responsables du service technique eut l’idée de mettre en place le premier programme de Bug Bounty. Les employés étaient encouragés à aller encore plus loin dans la recherche de bugs et de failles de sécurité au moyen de primes. Internet était également invité à faire de même par l’intermédiaire des forums consacrés à Netscape et de nombreux sites non-officiels.

Le succès d’un tel programme perdure encore aujourd’hui. Il n’y a pas que les entreprises qui en proposent, mais également, certains gouvernements et les armées. La France, également, dispose de ses propres programmes de chasse aux bugs et aux vulnérabilités.

Ce ne sont pas les entreprises ou les développeurs des logiciels testés qui sont les principaux acteurs d’un programme Bug Bounty, ce sont les hackers. Ils portent d’ailleurs différents noms, chercheurs ou encore hunters (chasseurs). Les hackers sont alors considérés comme non-hostiles et portent le nom de hackers éthiques quand ils œuvrent à la découverte d’une faille de sécurité. Même s’ils sont rémunérés pour leurs découvertes, le défi que constituent certains programmes de Bug Bounty suffit à en motiver plus d’un.

Les entreprises n’ont-elles pas déjà leurs propres prestataires en matière de sécurité ?

L’intérêt des programmes de Bug Bounty réside essentiellement dans le fait qu’une entreprise dispose, en théorie, d’un nombre très élevé de hackers motivés aux compétences multiples 24 h sur 24 et disséminés dans le monde entier. Les hunters les plus actifs sont respectivement en Inde, en Russie et aux Etats-Unis.

Le Bug Bounty est devenu rapidement un standard en matière de cybersécurité. En effet, si les sociétés prestataires en matière d’audit de sécurité auront toujours leur utilité, leurs missions sont généralement axées sur des points bien spécifiques.
Les programmes de Bug Bounty sont beaucoup plus ouverts, encouragent la créativité et offrent une couverture continue : un chercheur peut découvrir une faille six mois après le lancement du programme, là où un audit classique serait déjà terminé.

Au départ, l’idée de convier des hackers à venir forcer leurs systèmes avait de quoi rebuter bon nombre de chefs d’entreprise, mais les découvertes ainsi que le nombre important de reports de vulnérabilités système d’une grande pertinence ont fini par convaincre les derniers sceptiques. En France, les programmes de Bug Bounty ont commencé à se démocratiser à partir de 2015.

Bug Bounty : Comment ça se passe ?

C’est essentiellement la sécurisation des données sensibles qui motive les entreprises à avoir recours à des chercheurs. Si des géants comme Microsoft, Facebook ou encore Google peuvent se permettre de coordonner et d’administrer un programme de Bug Bounty par eux-mêmes, ce n’est pas le cas pour toutes les entreprises. En effet, il existe des plateformes qui permettent la mise en place de ces parties de chasse. En Europe, les plateformes YesWeHack et Yogosha sont des références reconnues qui permettent aux entreprises de lancer leur programme de Bug Bounty et aux hunters d’être informés qu’un nouveau challenge les attend.

Quelles sont les règles d’un Bug Bounty ?

Les programmes de Bug Bounty sont soumis à des règles strictes, ne pas s’y soumettre pour un hacker constitue une violation et pourrait avoir pour conséquence de ne toucher aucune compensation financière ou d’être tout simplement banni.
Un chercheur doit veiller à ne pas détériorer les biens ou les données pendant ses tests d’intrusion. Toutes les vulnérabilités qui sont signalées doivent être directement exploitables. Même s’il existe un barème concernant les primes, le montant de celles-ci est directement soumis à la discrétion de la société qui a lancé le programme de chasse.

Chaque rapport doit être accompagné d’une déclaration de principe et d’une description détaillée avec les étapes à suivre. Le pentesteur* doit également expliquer en quoi la faille qu’il a détectée peut affecter les données d’un utilisateur et/ou le bon fonctionnement d’une application/logiciel/système.

*Pentesteur : Hacker qui explore différents scénarios d’intrusion dans un système d’informations.

Pourquoi c’est important ?

Au-delà de la simple détection de bugs, les programmes de Bug Bounty représentent une démarche de transparence. Une entreprise qui ouvre ses systèmes à l’examen public montre qu’elle prend la sécurité au sérieux et qu’elle est prête à investir pour améliorer continuellement ses protections.
La différence avec un audit de sécurité classique ? Un audit est ponctuel, souvent limité dans le temps et le périmètre.
Un bug bounty, lui, reste actif et s’adapte : de nouveaux chercheurs peuvent arriver avec de nouvelles techniques, et les systèmes continuent d’être testés au fil des évolutions logicielles.
Cette approche bénéficie directement aux utilisateurs finaux. Invisible pour le grand public, cet éternel ballet, cette chasse sans fin apporte son lot d’avantages : bon nombre d’applications et de services sécurisés ne pourraient pas l’être sans ce type d’initiatives.

Exemples dans le domaine des VPN

Les Réseaux Privés Virtuels ne font pas exception à cette tendance. Certains services ont adopté cette approche et communiquent publiquement sur leurs programmes de Bug Bounty.

CyberGhost maintient un programme de bug bounty actif. Ce VPN pas cher gère l’intégralité du programme et invite des experts en sécurité indépendants à découvrir les éventuelles vulnérabilités dans ses systèmes. 

ExpressVPN dispose également d’un programme bug bounty public. Le service communique régulièrement sur cette initiative dans le cadre de sa politique de transparence.

Il est important de noter que d’autres VPN peuvent avoir des programmes bug bounty sans communication publique. Ce choix ne reflète pas forcément la qualité de leur sécurité : certains préfèrent gérer ces programmes en interne ou via des circuits privés, sans faire de communication autour.
La présence d’un programme public est un indicateur de transparence, mais son absence ne signifie pas automatiquement un manque de sérieux en matière de sécurité ou qu’il n’existe pas de programme.

En résumé

Les programmes de Bug Bounty représentent une évolution novatrice dans la façon dont les entreprises abordent la cybersécurité. En mobilisant une communauté mondiale de chercheurs, elles bénéficient d’une expertise diversifiée et d’une vigilance continue qui dépasse largement ce qu’un audit ponctuel pourrait offrir.
Pour les services qui traitent des données sensibles ou dont le coeur de métier est la confidentialité en ligne, cette démarche prend une dimension particulière. Elle montre un engagement concret envers la sécurité des utilisateurs.

Ah le fameux gars en capuche noire dans une cave sombre ! Génie pour certains, fléau pour d’autres, le hacker revêt de nombreux visages ou devrais-je dire chapeaux. Faisons le point sur les différents types de hackers.

Un hacker est généralement défini comme une personne qui utilise des compétences techniques pour accéder à des systèmes informatiques ou des réseaux sans y être autorisé. Les hackers peuvent mettre à profit leur savoir-faire à des fins éthiques, comme la recherche de vulnérabilités dans les systèmes pour en faire corriger les potentielles erreurs et les rendre plus surs.
Il existe différents types de hackers qui utilisent leurs compétences de différentes manières, certains sont éthiques et d’autres malveillants, certains cherchent à protéger les systèmes, d’autres cherchent à les compromettre. La définition exacte de ce qu’est un hacker, un pirate ou encore un cybercriminel varie en fonction du contexte et des motivations.

Tableau récapitulatif des différents types de hackers

Les hackers malveillants (black hat)

Les black hat sont considérés comme des cybercriminels qui utilisent leurs compétences pour des activités illégales. Ces pirates sont les auteurs de nombreux faits comme la violation de la sécurité informatique, le vol de données, le rançongiciel, le vol d’identité.

Les black hat peuvent également utiliser leurs compétences pour nuire aux entreprises et/ou aux individus. Ils agissent souvent dans le but de gagner de l’argent, mais pas seulement, parfois le simple plaisir de causer des gros dégâts suffit à les motiver. La vengeance peut également être une de leur motivation.

Les hackers grey hat

Rien n’est jamais vraiment tout noir ou tout blanc, les hackers n’échappent pas à cette règle.

Dans le contexte de la sécurité informatique, le terme gris se réfère à des activités ou des individus qui se situent entre les white hat et les black hat. Les grey hat sont des hackers qui utilisent leurs compétences pour des raisons à la fois légitimes et illégitimes ou pour des activités à la fois éthiques et non-éthiques. En termes simples, ils font un peu ce qu’il veulent.

©Ghost in the Shell

Ils peuvent par exemple découvrir une vulnérabilité dans un système et la signaler à la société concernée sans l’exploiter ou ils peuvent accéder à un système sans autorisation pour découvrir des vulnérabilités et les exploiter pour leur propre bénéfice.

Les hacktivistes

L’hacktivisme est une forme de militantisme, ce terme est la contraction de hacker et activisme.

Les hacktivistes sont des personnes qui utilisent les techniques de piratage informatique pour promouvoir des idéologies ou des causes politiques. Ils peuvent cibler des gouvernements, des entreprises ou des organisations qui, selon eux, sont en désaccord avec leurs convictions.

Les actions des cybermilitants peuvent inclure des attaques DDoS pour perturber les sites web, la publication de données privées volées, ou la propagation de logiciels malveillants.

Les hacktivistes peuvent être considérés comme des grey hat ou des black hat en fonction de la nature de leurs actions et de leurs motivations. Ça dépend surtout de la perception de la population par rapport à leurs actions et revendications.

Il est compliqué de nommer des groupes d’hacktivistes, les anonymous sont sans aucun doute les plus connus.

Les script-kiddies

Le terme script-kiddies est assez péjoratif et pourtant les dégâts causés par ces personnes peuvent être assez important.

Souvent sous estimés, les script-kiddies (gamins à script) sont des personnes qui utilisent des scripts ou des outils de piratage préécrits pour effectuer des attaques informatiques, sans avoir une compréhension réelle des techniques utilisées.

Ils peuvent être considérés comme des hackers amateurs ou des utilisateurs non expérimentés. Leur impact est généralement moins important que celui des hackers expérimentés.

Les script-kiddies peuvent utiliser des outils tels que les programmes de déni de service distribué (DDOS), des kits d’exploitation de failles, et des scripts de piratage pour pourrir ou s’introduire un système. Ces gamins à script sont majoritairement considérés comme des black hat.

De nos jours, il n’y a plus vraiment de profil type pour un script-kiddie, mais pendant longtemps, la plupart d’entre eux étaient des adolescents.

Autres couleurs

©Mr Robot

En plus des termes white hat, black hat et grey hat (je vois parfois passer le terme gray), il existe d’autres termes couramment utilisés pour décrire différents types de hackers.

• Les Green Hats (chapeau vert) sont souvent des débutants dans le monde de la cybersécurité qui cherchent à apprendre les compétences nécessaires pour devenir des hackers éthiques.
• Les Blue Hats (chapeaux bleus) constituent une catégorie de pirates novices, souvent motivés par la vengeance envers une personne ou une organisation qui les a contrariés. Contrairement aux Script Kiddies, ils n’ont aucun désir d’apprendre ou de développer de réelles compétences techniques, et se contentent d’utiliser des méthodes de cyberattaque simples.

  À l’origine, le terme BlueHat avait été utilisé par Microsoft pour désigner des hackers invités à tester des failles de sécurité avant la sortie d’un produit. Cependant, dans le milieu actuel de la cybersécurité, les experts s’accordent à dire que cette terminologie n’a plus vraiment cours, le rôle correspondant ayant été absorbé par celui de pentesteur.

• Les Red Hats (chapeau rouge) sont des hackers qui cherchent à protéger les systèmes en utilisant des méthodes plus agressives que les hackers éthiques. Leur objectif est la traque et la neutralisation des cybercriminels. Les moyens qu’ils utilisent ne sont d’ailleurs pas toujours légaux.

Ces termes ne sont pas aussi couramment utilisés que les autres et les hackers eux-mêmes sont parfois dubitatifs avec ces couleurs… d’autant qu’il en existe d’autres. Disons simplement que c’est communément admis.

Les Teams : un modèle d’organisation, pas une question d’éthique

À la différence des chapeaux (White Hat, Black Hat, etc.) qui décrivent une intention qu’elle soit morale ou légale, c’est-à-dire pourquoi un hacker agit, les Teams désignent une fonction opérationnelle dans une structure de cybersécurité, autrement dit ce que ces professionnels font.
On les retrouve souvent dans les entreprises, les administrations ou les exercices militaires de cyberdéfense.

En d’autres termes, les chapeaux définissent l’éthique, les teams définissent le rôle.

Les principales Teams de cybersécurité

Dans la pratique, ces équipes colorées représentent les différents rôles opérationnels au sein d’un dispositif de défense numérique.
Elles s’affrontent, coopèrent ou s’observent selon le type d’exercice. Certaines se concentrent sur l’attaque, d’autres sur la défense, et d’autres encore sur la coordination.

Red Team : L’attaque contrôlée

C’est l’équipe offensive.
Son rôle est de simuler des attaques réelles contre une infrastructure pour tester les défenses : intrusion réseau, phishing ciblé, exploitation de failles logicielles, voire tests physiques (accès aux locaux).
Les membres d’une Red Team sont souvent des pentesteurs expérimentés capables de penser comme des cybercriminels, mais agissent avec autorisation.
Leur mission est de trouver les failles avant que les vrais attaquants ne les exploitent.
Si vous voulez creuser le sujet côté pratique, jetez un œil à Synacktiv, des pentesteurs français qui publient beaucoup et organisent des formations sur le red teaming.

© Synacktiv 2025

Blue Team : La défense en action

C’est l’équipe défensive.
Elle surveille les systèmes, analyse les journaux, repère les intrusions et met en place des contre-mesures.
Son objectif est d’assurer la détection, la réaction et la résilience face aux attaques.
Leur mission est de défendre le terrain et renforcer les lignes après chaque assaut.

Purple Team : Le pont entre attaque et défense

La Purple Team fait le lien entre les deux précédentes.
Elle favorise la collaboration : les Red Teams partagent leurs techniques d’attaque, les Blue Teams les transforment en leçons pratiques.
Leur mission est de transformer les simulations en apprentissage collectif.

Green Team : L’équilibre et la prévention

La Green Team est un ajout plus récent, issu du monde DevSecOps.
Elle se concentre sur la prévention : construire des systèmes plus sûrs, automatiser la détection et intégrer la sécurité dès la conception.
Mais elle joue aussi souvent un rôle d’arbitre et de coordinateur entre les autres équipes.
Leur mission est de maintenir l’équilibre et traduire les enseignements en actions concrètes.

Dans les exercices plus anciens (comme les compétitions CTF ou les entraînements militaires), ce rôle d’arbitrage revenait à la White Team, chargée de poser les règles et d’évaluer les performances.
Dans les environnements plus récents, la Green Team a repris cette fonction, avec une approche plus adaptative et orientée amélioration continue.

Yellow Team : Les développeurs du changement

Elle se concentre sur la sécurité logicielle.
La yeallow Team travaille main dans la main avec la Green Team pour intégrer des pratiques sûres dès le développement.
Leur mission est de faire de ce que l’on appelle le code propre un premier rempart de sécurité.

Pour conclure

En conclusion, non, tous les hackers ne sont pas des mecs en sweat noir cloitrés dans un vieux hangar, il y a aussi des pirates barbus qui rôdent dans leur salon et parfois même dans le votre si votre réseau domestique n’est pas assez sécurisé.

Le Programme et Équipements Prioritaires de Recherche (PEPR) « Cybersécurité » a été lancé en 2021 dans le cadre de la stratégie nationale d’accélération de la cybersécurité. Il visait à tripler le chiffre d’affaires du secteur d’ici 2025, tout en renforçant la souveraineté de la France et en réduisant sa dépendance aux technologies étrangères.
L’ensemble de cette stratégie avait été annoncé avec un budget supérieur à un milliard d’euros, mais le PEPR représentait une enveloppe annuelle d’environ 65 millions d’euros. Aujourd’hui en 2025, le programme a-t-il atteint ses objectifs ?

Les fondations du PEPR Cybersécurité

Il y a quatre ans, le Président Emmanuel Macron affirmait que le nouveau plan cybersécurité soutiendrait et stimulerait le secteur, Gildas Avoine a été nommé pilote scientifique CNRS du PEPR.
Le programme devait fédérer l’informatique, les mathématiques, l’électronique et le traitement du signal, en mettant l’accent sur la cryptographie et la sécurisation des données, du matériel, des systèmes numériques, des logiciels et des réseaux.

Le CNRS, l’un des trois opérateurs nationaux chargés de la recherche, reconnaissait déjà en 2021 les défis du secteur : améliorer la sécurité nationale et se protéger contre les menaces liées au télétravail, aux achats en ligne ou à la télémédecine. Gildas Avoine avait identifié dix projets prioritaires impliquant plus de 1000 personnes au sein des trois organisations.

Intégration au plan France 2030

En février 2022, le site du gouvernement rendait compte des premiers résultats du programme et annonçait son intégration au plan d’investissement France 2030. Le rapport soulignait que trois appels à projets avaient été lancés et que des technologies cyber innovantes et stratégiques seraient financées à hauteur de 150 millions d’euros.
Un soutien significatif à l’entrepreneuriat a également été mis en place : trois start-ups ont été incubées dès les premiers mois, et 50 autres dossiers étaient en cours d’examen.

Une ambition à long terme

La dépendance de la France aux technologies étrangères pourrait exposer le pays à des risques. En soutenant la recherche sur la cryptographie post-quantique, la conception sécurisée de matériel et les infrastructures numériques, le gouvernement entendait s’assurer que la France ne serait pas laissée pour compte.

Le programme reflète une prise de conscience : la cybersécurité touche tous les aspects de la vie quotidienne. Les experts incitent souvent le public à adopter des mesures simples, installer un antivirus, mettre à jour ses appareils, ou installer un VPN pour naviguer plus sereinement mais la stratégie nationale exige un investissement plus profond dans la recherche et l’innovation.

Comment améliorer la sécurité nationale grâce à la cybersécurité ?

Les cyberattaques perturbent souvent des infrastructures critiques, comme les hôpitaux ou les réseaux de transport. Accroître les investissements dans des domaines comme l’intelligence artificielle ou les infrastructures cloud sécurisées permet de réduire les vulnérabilités.
L’innovation est également clé : encourager la collaboration entre recherche publique, entreprises privées et agences de défense est essentiel pour la cybersécurité d’un pays.

D’autres pays ont adopté des approches similaires. Les États-Unis, par exemple, lient cybersécurité et dépenses de défense, l’Allemagne investit massivement pour protéger ses systèmes industriels, y compris ses réseaux de transport et ses sites de production.

Pourquoi la cybersécurité est-elle une préoccupation ?

Ces dernières années ont montré la vulnérabilité des pays et des entreprises face aux cyberattaques. Des incidents très médiatisés ont mis en évidence l’ampleur et la sophistication des menaces de nouvelle génération. Les attaques par ransomware ont ainsi perturbé des hôpitaux, des réseaux de transport et des chaînes d’approvisionnement, interrompant parfois des services critiques pendant plusieurs jours.

En 2021, l’attaque du Colonial Pipeline aux États-Unis a provoqué des pénuries de carburant sur toute la côte Est, tandis que l’attaque contre Kaseya a ciblé des centaines d’entreprises via une seule faille logicielle.

Les institutions gouvernementales sont également des cibles de choix. En 2020, plusieurs pays ont signalé des intrusions dans des agences de santé et des laboratoires de recherche, certaines liées au développement rapide des vaccins contre le COVID-19. Ces attaques ont montré que des données sensibles, allant des informations de santé aux plans d’infrastructures critiques, pouvaient être volées ou prises en otage, avec des conséquences potentiellement graves.

La fréquence et la complexité de ces attaques s’expliquent par plusieurs facteurs : la digitalisation accrue des services, le télétravail, et la professionnalisation des cybercriminels, parfois soutenus par des États. C’est pourquoi des nations comme la France investissent massivement dans la recherche et l’innovation en cybersécurité : défendre contre les cybermenaces est un enjeu central de sécurité nationale.

Qu’est-ce que la cryptographie post-quantique ?

La cryptographie post-quantique (PQC) désigne un ensemble d’algorithmes cryptographiques conçus pour rester sécurisés face aux ordinateurs quantiques à grande échelle. Les systèmes classiques (RSA ou cryptographie à courbe elliptique) reposent sur des problèmes mathématiques difficiles pour les ordinateurs classiques. Par exemple, la sécurité de RSA dépend de la factorisation de très grands nombres.

Les ordinateurs quantiques, eux, utilisent des principes différents, superposition, intrication, pour résoudre certains problèmes beaucoup plus rapidement. L’algorithme de Shor, par exemple, permettrait à un ordinateur quantique puissant de casser RSA et d’autres schémas similaires, rendant une grande partie de la sécurité actuelle d’internet vulnérable.

Ordinateur quantique – image d’illustration

L’objectif de la PQC est de développer de nouveaux algorithmes résistants aux attaques quantiques tout en restant efficaces sur les infrastructures numériques actuelles. Les chercheurs travaillent sur plusieurs familles d’algorithmes, basées sur différents problèmes mathématiques jugés difficiles à résoudre pour les ordinateurs classiques et quantiques.

Le concept de « récolter aujourd’hui, déchiffrer demain » illustre l’urgence de la PQC. Les informations sensibles transmises aujourd’hui,données financières, secrets d’État, informations personnelles, pourraient être interceptées et stockées en attendant que les ordinateurs quantiques soient suffisamment puissants pour les décrypter. La recherche et la normalisation sont donc capitales dès maintenant, même avant la généralisation des ordinateurs quantiques.
Des gouvernements et organisations du monde entier travaillent sur ce défi. Le NIST aux États-Unis organise un concours pluriannuel pour identifier et standardiser des algorithmes post-quantiques adoptables à grande échelle. En Europe, des initiatives comme le PEPR français mettent également l’accent sur la PQC.
En anticipant les menaces liées à l’informatique quantique, la PQC vise à protéger les données sensibles et les infrastructures critiques pour les décennies à venir, garantissant ainsi la sécurité nationale sur le long terme.

Où en est le programme français aujourd’hui ?

Les résultats financiers du PEPR n’ont pas été rendus publics, mais le programme a créé une dynamique : universités et institutions publiques collaborent, et les start-ups sont encouragées. La France s’est positionnée comme un acteur crédible en cybersécurité, capable de contribuer aux stratégies européennes.
Le succès du PEPR dépendra de la manière dont les initiatives de recherche se traduiront en adoption généralisée. Les prochaines années montreront si la France est moins vulnérable aux cyberattaques et plus autonome technologiquement.
En termes de chiffres purs, il est difficile de mesurer si les objectifs ont été atteints, mais la dynamique et les ambitions du plan demeurent.

Sur le même thème