Nouveau : Candidatures pour rentrée décalée en janvier 2025 ouvertes !

Candidater

Boite à outils

Bug Bounty : qu'est ce qu'un programme de recherche de bug ?

Pour détecter les failles dans ses logiciels, une organisation peut lancer un Bug Bounty. Il s’agit d’un programme qui consiste à récompenser les personnes qui détectent des failles dans les applications. Appelé aussi chasse aux bugs en français, il est ouvert à tous les hackers et les chercheurs indépendants.

Romain Charbonnier
Par Romain Charbonnier
Journaliste indépendant
Contenu mis à jour le
BUG BOUNTY : QU'EST CE QU'UN PROGRAMME DE RECHERCHE DE BUG ?
NB : Contenu en cours de réécriture.

Nous vivons dans un monde où le piratage informatique est de plus en plus complexe (phishing, attaque via des botnets, etc.), la moindre faille se révèle être catastrophique.

Ainsi, les organisations souhaitent plus que jamais rassurer leurs clients. Pour évaluer la sécurité de leurs logiciels, les entreprises ont plusieurs options : recourir au service d’un professionnel de la sécurité ou d’un sous-traitant spécialisé.  

Le Bug Bounty est par ailleurs une autre alternative. Cette chasse aux failles est ouverte à tous les chercheurs indépendants et les hackers éthiques

Qu’est-ce que le Bug Bounty ?

Un Bug Bounty désigne une récompense financière proposée aux hackers éthiques lorsqu’ils découvrent ou signalent un bug ou une vulnérabilité à un éditeur d’application. Ce programme sert à employer la communauté de hackers afin de renforcer la sécurité de leurs systèmes au fil du temps.

À travers le monde, les pirates chassent les bogues pour s’enrichir. À l’image d’un chasseur de prime, certains vivent même de cette activité. C’est pour eux un travail à temps plein.

Le Bug Bounty attire de plus en plus les pirates aux compétences variées. Le programme est un grand atout pour les organisations, comparé aux autres tests qui reposent souvent sur des équipes de sécurité qui n’ont pas l’expérience nécessaire pour détecter les vulnérabilités.

Les chercheurs indépendants peuvent également aviser les bugs et obtenir une récompense en retour. Les bugs sont notamment des exploits de sécurité et des fragilités. Toutefois, il peut aussi s’agir de failles matérielles et de problèmes de processus.

Habituellement, ces programmes sont utilisés en complément des tests d’intrusions classiques et procurent aux entreprises une solution pour tester la sécurité de leurs applications durant le cycle de vie de développement.

QU’EST-CE QUE LE BUG BOUNTY ?

Gratuit
Téléchargez Le Grand Livre de la cybersécurité
Plus de 180 pages d’articles indispensables rédigés par des experts pour vous aider à mieux comprendre le secteur de la cybersécurité.
Téléchargez gratuitement le Grand Livre DE LA CYBERSÉCURITÉ

Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49

Comment fonctionne le Bug Bounty ?

Les entreprises lancent des Bug Bounties en proposant des récompenses aux chasseurs de bug ou Bounty Hunter qui avertissent les failles de sécurité et les vulnérabilités dans leurs systèmes.

Le déroulement d’un Bug Bounty

Le déroulement d’un Bug Bounty

Quand un chasseur signale une faille, la société le paie en guise de remerciement pour obtenir une longueur d’avance sur la découverte d’une fragilité de sécurité.

Lorsqu’une société lance un programme de Bug Bounty, elle doit déterminer au préalable sa portée et son budget. Il est également nécessaire de limiter les systèmes que les Bounty Hunter peuvent tester et la manière dont les tests sont réalisés.  

Certaines entreprises désirent protéger quelques domaines par souci de confidentialité, ou exiger que les tests n’engendrent pas des conséquences négatives sur les opérations. Cela permet de réaliser des tests de sécurité sans réduire la productivité de l’entreprise.

À combien s’élève la récompense d’un programme Bug Bounty ?

La somme proposée lors d’un programme Bug Bounty doit être relativement attractive. C’est une manière de communiquer à la communauté des hackers que la société est sérieuse en matière de cybersécurité et désire réellement découvrir la vulnérabilité de ces applications.

Le montant de la récompense proposée se base généralement sur le niveau de sévérité des menaces découvertes. Habituellement, une récompense de Bug Bounty s’élève entre quelques milliers d’euros à plusieurs millions.

Pour inciter les hackers, la mise en place d’un système de tableau de classement créditant les personnes qui arrivent à détecter les points faibles du système est recommandée.

À combien s’élève la récompense d’un programme Bug Bounty ?

Comment se déroule le rapport de bug ?

Quand un pirate informatique découvre un bug, il écrit un rapport qui détaille sa nature exacte, la manière dont il impacte l’application ainsi que son niveau d’austérité. Il désigne aussi les phases clés de sa découverte ainsi que les détails qui visent à accompagner les éditeurs à riposter et approuver le bug.

En général, les rapports sont réalisés grâce à un programme tiers indépendant, à savoir Bugcrowd ou HackerOne. Ce type de programme peut être lancé sur invitation ou accessible à tous.  

Une fois le rapport passé en revue et le bug confirmé, l’organisation paie le pirate. Les concepteurs traitent en priorité les rapports de bug les plus rudes et tentent de résoudre rapidement le problème. Ensuite, ils réalisent à nouveau un test pour s’assurer que le bug soit parfaitement corrigé.

Vous souhaitez travailler dans la cybersécurité ?
2 FORMATIONS DE POST BAC À BAC+5 100% dédiées à la cybersécurité
Nos programmes de formation sont pensés avec les entreprises du secteur de la cybersécurité et du digital pour maximiser l’employabilité de nos étudiants. Le Bachelor a été construit pour transmettre de solides bases de développement informatique tout en parcourant progressivement les notions clés de la cybersécurité. Le MSc est à 100% dédié à la cyber et spécialise dans un métier de la cybersécurité. Nos diplômes sont reconnus par les entreprises et par l’Etat, ils délivrent en fin de cursus un titre RNCP de niveau 6 (Bac+3) ou 7 (Bac+5).

Pour quelles raisons les entreprises choisissent-elles de lancer ce programme ?

Ce type de programme permet aux organisations de détecter les bugs dans leur code grâce aux compétences des hackers. Cela aide à augmenter le nombre de testeurs et les probabilités de repérer les bogues permettant alors de les signaler avant que des attaquants malveillants ne les volent pour les exploiter.

Lancer un Bug Bounty peut aussi aider une entreprise à améliorer son image de marque. Il s’agit d’une approche de plus en plus connue permettant de montrer au public, voire aux régulateurs, que la société a installé une politique de sécurité mûre. Prochainement, ce programme peut très bien devenir un standard industriel.

Par ailleurs, la découverte anticipée de ces failles aide énormément à amoindrir les dommages que les bugs fonctionnels sont susceptibles de causer. Parmi eux, on peut citer entre autres les taux d’abandon plus élevés, une baisse du trafic, la baisse de l’image de marque à cause d’une mauvaise expérience utilisateur ou des taux de conversions plus faibles.

POUR QUELLES RAISONS LES ENTREPRISES CHOISISSENT-ELLES DE LANCER CE PROGRAMME ?

Les raisons pour lesquelles les chercheurs et les hackers participent au Bug Bounty

La découverte et le signalement de bugs à travers un programme de Bug Bounty se révèlent être bénéfique pour les hackers éthiques et les chercheurs. Tout d’abord, leur participation est avant tout financière. Parvenir à détecter un bug est aussi une forme de reconnaissance.

C’est aussi un grand atout dans le monde professionnel, car il permet de prouver une expérience et la  compétence au moment de rechercher un emploi. Ils peuvent aussi aider les participants à communiquer avec les membres de l’équipe de sécurité de l’organisation. Pour certaines personnes, la participation à ce genre de programme est une façon de s’amuser.

Il s’agit parfois d’un emploi à temps plein ou alors d’un complément d’activité. C’est également l’occasion de mettre à l’épreuve ses talents de pirate sur les systèmes des plus importantes sociétés et agences gouvernementales.

LES RAISONS POUR LESQUELLES LES CHERCHEURS ET LES HACKERS PARTICIPENT AU BUG BOUNTY

Exemples d’entreprises qui utilisent le Bug Bounty

Pour garder la sécurité de leurs applications, plusieurs organisations connues  utilisent les programmes de Bug Bounty.

Shopify

Shopify

Cette entreprise vend des services de e-commerce avec plus de 500 000 clients à travers le monde. Ainsi, elle est dans l’obligation d’avoir une sécurité irréprochable. Sa récompense aux personnes qui signalent une vulnérabilité critique s’élève jusqu’à 30 000 dollars. Cette entreprise a déjà offert plusieurs millions de dollars aux pirates.

En décembre 2020, un pirate a détecté une vulnérabilité donnant un accès non autorisé aux comptes des marchands. Il a signalé la faille à l’équipe de Shopify à travers le programme Bug Bounty. Heureusement, le problème a été résolu avant le réveillon de Noël, l’une des périodes les plus importantes pour les sites e-commerce. La récompense du pirate @cache-money était de 15 000 dollars.

Yelp

C’est une plateforme qui connecte les utilisateurs aux commerces locaux à travers le monde. Yelp utilise depuis 2014 le Bug Bounty pour contrôler 19 secteurs différents, dont les systèmes email, les applications mobiles, etc. Avec ce programme, la société est parvenue à corriger en moyenne 300 vulnérabilités à ce jour. Par ailleurs, de nouveaux domaines et applications sont constamment ajoutés à la feuille de route.

Aussi, le programme de Mail.ru Group a permis à l’entreprise de résoudre en moyenne 4 000 vulnérabilités. Dernièrement, sa récompense est passée à un million de dollars pour les hackers ayant participé à renforcer la sécurité de sa plateforme d’hébergement d’email.  

Pour les bugs les plus importants, la prime maximale peut s’afficher à 35 000 dollars. De même pour les bugs détectés dans les applications de ses commerçants partenaires. 

Yelp

D’autres entreprises utilisant le programme Bug Bounty

Plusieurs grandes sociétés utilisent aussi le programme Bug Bounty pour la cybersécurité, dont :

  • AOL
  • Android
  • Apple
  • Digital Ocean
  • Goldman Sachs

Les hackers participant aux Bug Bounty

Les chasseurs de primes sont notamment des pirates informatiques très qualifiés et éthiques qui découvrent les failles de sécurité. Leur mission principale est identique à celle d’un intermédiaire. Ils procèdent à détecter les erreurs, les vulnérabilités et les entreprises qui sont susceptibles de nuire aux intérêts de l’organisation.

L’avantage du lancement de ce type de programme est le fait qu’il aide les organisations à optimiser leur compétitivité, et particulièrement à la sécuriser contre les acteurs mal intentionnés (revente de données sur le dark web, brèche informatique, etc.).

La somme d’argent ou la reconnaissance obtenue en soumettant avec succès des rapports pour différentes entreprises peut impacter le nombre de participants. À titre d’exemple, signaler un bug pour Google ou Apple peut apporter plus de prestige.

LES HACKERS QUI PARTICIPENT AUX BUG BOUNTY