Ils fleurissent un peu partout depuis quelques années, souvent proposés par de grosses sociétés Américaines. Les entreprises Française ne feraient-elles pas mieux de s’intéresser à cette nouvelle forme de
sécurisation ?
Le Bug Bounty Program, c’est quoi au juste ?
En bon Français, on pourrait le traduire par « le programme de récompense de bug ». Mouais, ça nous aide pas davantage à comprendre ce qu’il se cache derrière.
Dans le domaine de la sécurité informatique, c’est tout simplement, pour une société de proposer un programme de rémunération pour la découverte de vulnérabilité sur leurs logiciels ou leur infrastructure.
Concrètement, si vous découvrez une faille qui permet de voler un compte Facebook, vous pouvez le signaler à Facebook qui vous remerciera de la découverte en vous envoyant 3500$.
Quels avantages pour l’entreprise ?
Les avantages sont, selon moi, nombreux.
Tout d’abord, pour une fuite de données de petite envergure, un pirate aura alors 2 choix :
- Créer un Pastebin avec les données volées et les données en pâture à l’Internet, pour la gloire (ou le lulz)
- Faire part de sa découverte en espérant être admissible au Bug Bounty
Fort à parier que nombreux seraient ceux qui choisiraient la seconde possibilité.
Autre gros avantage pour l’entreprise qui propose un Bug Bounty Program : elle dispose alors d’une armée de pentesters ! En effet, dans notre premier exemple, le pirate est tombé sur une faille peut être par opportunisme, il a vu de la lumière et il est entré. Mais lorsque les testeurs de tout poil apprennent la présence d’un Bug Bounty, ça les incite à venir tester la sécurité. Donc finalement, au lieu de payer une équipe sécurité à temps plein, un petit Bug Bounty et le travail de recherche et de veilleest fait gratuitement !
Bon, bien sûr c’est imagé car il faut bien quelqu’un pour corriger les failles et faire en sorte que l’entreprise ne se ruine pas en paiement de récompense mais le fait est là : un Bug Bounty permet ou peut permettre d’augmenter sensiblement la sécurité.
Et enfin, dernier avantage flagrant : l’amélioration de l’image de l’entreprise ayant recours à ce type de programme. En effet, si vous êtes client d’une entreprise et que vous voyez qu’elle prend sa sécurité au sérieux en affichant des récompenses pour découverte de vulnérabilités, et bien vous savez que ce n’est pas un sujet qu’elle prend à la légère !
Quels avantage pour les Hackers/Pentesters/… ?
Je ne sais pas vous, mais lors du premier pentest que j’ai réalisé sous contrat, je me sentais en sécurité. Pas besoin de se cacher derrière un proxy, pas besoin d’être parano sur les traces laissées … Et bien je dirai que lorsqu’une société ouvre un programme de Bug Bounty, implicitement elle autorise les chercheurs à mettre à mal son infra. Bien entendu, ça ne veut pas dire de tout ruiner et que tout est permis. Mais ça permet tout de même aux pentesters d’assouvir leur passion dans un climat sain.
Et bien entendu, l’autre avantage est bien entendu financier. Quand on voit que des entreprises ne prennent même pas la peine d’envoyer un mail de remerciement, il est appréciable de recevoir des dollars en plus ?
Finalement
Il faudrait que les entreprises pèsent le pour et le contre de ce type de programme. D’un côté, il faut mettre la main au portefeuille pour monter et financer ce type de programme mais vu les avantages que nous avons soulevé, le jeu peut en valoir la chandelle.
Trop souvent les entreprises attendent d’être victime d’une attaque avant de réagir et d’adopter une stratégie sur le long terme alors prenez les devants et offrez nous des Bounty !
Bonus
Une liste des programmes de Bug Bounty en cours.
Vous aimerez aussi :
- Le site HackAServer propose aux Hackers de les remunerer
- Intrusio – Chiffres sur les Pentests de la semaine
- Labs Intrusio – Première alerte envoyée !
- WAppEx : L’outil tout-en-un d’exploitation de vulnérabilités de sites web
- Exploit-Exercices : Des distributions pour se faire la main au Pentest Linux