Pour détecter les failles dans ses logiciels, une organisation peut lancer un Bug Bounty. Il s’agit d’un programme qui consiste à récompenser les personnes qui détectent des failles dans les applications. Appelé aussi chasse aux bugs en français, il est ouvert à tous les hackers et les chercheurs indépendants.
Nous vivons dans un monde où le piratage informatique est de plus en plus complexe (phishing, attaque via des botnets, etc.), la moindre faille se révèle être catastrophique.
Ainsi, les organisations souhaitent plus que jamais rassurer leurs clients. Pour évaluer la sécurité de leurs logiciels, les entreprises ont plusieurs options : recourir au service d’un professionnel de la sécurité ou d’un sous-traitant spécialisé.
Le Bug Bounty est par ailleurs une autre alternative. Cette chasse aux failles est ouverte à tous les chercheurs indépendants et les hackers éthiques.
Qu’est-ce que le Bug Bounty ?
Un Bug Bounty désigne une récompense financière proposée aux hackers éthiques lorsqu’ils découvrent ou signalent un bug ou une vulnérabilité à un éditeur d’application. Ce programme sert à employer la communauté de hackers afin de renforcer la sécurité de leurs systèmes au fil du temps.
À travers le monde, les pirates chassent les bogues pour s’enrichir. À l’image d’un chasseur de prime, certains vivent même de cette activité. C’est pour eux un travail à temps plein.
Le Bug Bounty attire de plus en plus les pirates aux compétences variées. Le programme est un grand atout pour les organisations, comparé aux autres tests qui reposent souvent sur des équipes de sécurité qui n’ont pas l’expérience nécessaire pour détecter les vulnérabilités.
Les chercheurs indépendants peuvent également aviser les bugs et obtenir une récompense en retour. Les bugs sont notamment des exploits de sécurité et des fragilités. Toutefois, il peut aussi s’agir de failles matérielles et de problèmes de processus.
Habituellement, ces programmes sont utilisés en complément des tests d’intrusions classiques et procurent aux entreprises une solution pour tester la sécurité de leurs applications durant le cycle de vie de développement.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Comment fonctionne le Bug Bounty ?
Les entreprises lancent des Bug Bounties en proposant des récompenses aux chasseurs de bug ou Bounty Hunter qui avertissent les failles de sécurité et les vulnérabilités dans leurs systèmes.
Le déroulement d’un Bug Bounty
Quand un chasseur signale une faille, la société le paie en guise de remerciement pour obtenir une longueur d’avance sur la découverte d’une fragilité de sécurité.
Lorsqu’une société lance un programme de Bug Bounty, elle doit déterminer au préalable sa portée et son budget. Il est également nécessaire de limiter les systèmes que les Bounty Hunter peuvent tester et la manière dont les tests sont réalisés.
Certaines entreprises désirent protéger quelques domaines par souci de confidentialité, ou exiger que les tests n’engendrent pas des conséquences négatives sur les opérations. Cela permet de réaliser des tests de sécurité sans réduire la productivité de l’entreprise.
À combien s’élève la récompense d’un programme Bug Bounty ?
La somme proposée lors d’un programme Bug Bounty doit être relativement attractive. C’est une manière de communiquer à la communauté des hackers que la société est sérieuse en matière de cybersécurité et désire réellement découvrir la vulnérabilité de ces applications.
Le montant de la récompense proposée se base généralement sur le niveau de sévérité des menaces découvertes. Habituellement, une récompense de Bug Bounty s’élève entre quelques milliers d’euros à plusieurs millions.
Pour inciter les hackers, la mise en place d’un système de tableau de classement créditant les personnes qui arrivent à détecter les points faibles du système est recommandée.
Comment se déroule le rapport de bug ?
Quand un pirate informatique découvre un bug, il écrit un rapport qui détaille sa nature exacte, la manière dont il impacte l’application ainsi que son niveau d’austérité. Il désigne aussi les phases clés de sa découverte ainsi que les détails qui visent à accompagner les éditeurs à riposter et approuver le bug.
En général, les rapports sont réalisés grâce à un programme tiers indépendant, à savoir Bugcrowd ou HackerOne. Ce type de programme peut être lancé sur invitation ou accessible à tous.
Une fois le rapport passé en revue et le bug confirmé, l’organisation paie le pirate. Les concepteurs traitent en priorité les rapports de bug les plus rudes et tentent de résoudre rapidement le problème. Ensuite, ils réalisent à nouveau un test pour s’assurer que le bug soit parfaitement corrigé.
Pour quelles raisons les entreprises choisissent-elles de lancer ce programme ?
Ce type de programme permet aux organisations de détecter les bugs dans leur code grâce aux compétences des hackers. Cela aide à augmenter le nombre de testeurs et les probabilités de repérer les bogues permettant alors de les signaler avant que des attaquants malveillants ne les volent pour les exploiter.
Lancer un Bug Bounty peut aussi aider une entreprise à améliorer son image de marque. Il s’agit d’une approche de plus en plus connue permettant de montrer au public, voire aux régulateurs, que la société a installé une politique de sécurité mûre. Prochainement, ce programme peut très bien devenir un standard industriel.
Par ailleurs, la découverte anticipée de ces failles aide énormément à amoindrir les dommages que les bugs fonctionnels sont susceptibles de causer. Parmi eux, on peut citer entre autres les taux d’abandon plus élevés, une baisse du trafic, la baisse de l’image de marque à cause d’une mauvaise expérience utilisateur ou des taux de conversions plus faibles.
Les raisons pour lesquelles les chercheurs et les hackers participent au Bug Bounty
La découverte et le signalement de bugs à travers un programme de Bug Bounty se révèlent être bénéfique pour les hackers éthiques et les chercheurs. Tout d’abord, leur participation est avant tout financière. Parvenir à détecter un bug est aussi une forme de reconnaissance.
C’est aussi un grand atout dans le monde professionnel, car il permet de prouver une expérience et la compétence au moment de rechercher un emploi. Ils peuvent aussi aider les participants à communiquer avec les membres de l’équipe de sécurité de l’organisation. Pour certaines personnes, la participation à ce genre de programme est une façon de s’amuser.
Il s’agit parfois d’un emploi à temps plein ou alors d’un complément d’activité. C’est également l’occasion de mettre à l’épreuve ses talents de pirate sur les systèmes des plus importantes sociétés et agences gouvernementales.
Exemples d’entreprises qui utilisent le Bug Bounty
Pour garder la sécurité de leurs applications, plusieurs organisations connues utilisent les programmes de Bug Bounty.
Shopify
Cette entreprise vend des services de e-commerce avec plus de 500 000 clients à travers le monde. Ainsi, elle est dans l’obligation d’avoir une sécurité irréprochable. Sa récompense aux personnes qui signalent une vulnérabilité critique s’élève jusqu’à 30 000 dollars. Cette entreprise a déjà offert plusieurs millions de dollars aux pirates.
En décembre 2020, un pirate a détecté une vulnérabilité donnant un accès non autorisé aux comptes des marchands. Il a signalé la faille à l’équipe de Shopify à travers le programme Bug Bounty. Heureusement, le problème a été résolu avant le réveillon de Noël, l’une des périodes les plus importantes pour les sites e-commerce. La récompense du pirate @cache-money était de 15 000 dollars.
Yelp
C’est une plateforme qui connecte les utilisateurs aux commerces locaux à travers le monde. Yelp utilise depuis 2014 le Bug Bounty pour contrôler 19 secteurs différents, dont les systèmes email, les applications mobiles, etc. Avec ce programme, la société est parvenue à corriger en moyenne 300 vulnérabilités à ce jour. Par ailleurs, de nouveaux domaines et applications sont constamment ajoutés à la feuille de route.
Aussi, le programme de Mail.ru Group a permis à l’entreprise de résoudre en moyenne 4 000 vulnérabilités. Dernièrement, sa récompense est passée à un million de dollars pour les hackers ayant participé à renforcer la sécurité de sa plateforme d’hébergement d’email.
Pour les bugs les plus importants, la prime maximale peut s’afficher à 35 000 dollars. De même pour les bugs détectés dans les applications de ses commerçants partenaires.
D’autres entreprises utilisant le programme Bug Bounty
Plusieurs grandes sociétés utilisent aussi le programme Bug Bounty pour la cybersécurité, dont :
Les hackers participant aux Bug Bounty
Les chasseurs de primes sont notamment des pirates informatiques très qualifiés et éthiques qui découvrent les failles de sécurité. Leur mission principale est identique à celle d’un intermédiaire. Ils procèdent à détecter les erreurs, les vulnérabilités et les entreprises qui sont susceptibles de nuire aux intérêts de l’organisation.
L’avantage du lancement de ce type de programme est le fait qu’il aide les organisations à optimiser leur compétitivité, et particulièrement à la sécuriser contre les acteurs mal intentionnés (revente de données sur le dark web, brèche informatique, etc.).
La somme d’argent ou la reconnaissance obtenue en soumettant avec succès des rapports pour différentes entreprises peut impacter le nombre de participants. À titre d’exemple, signaler un bug pour Google ou Apple peut apporter plus de prestige.