lundi 4 février 2019

Le programme Bug bounty pour les hackers éthiques


Historiquement, c'est Netscape qui en 1995 a mis en place le premier bug bounty en pleine guerre avec Internet Explorer de Microsoft dans l'idée de sécuriser au mieux le navigateur par rapport à son concurrent direct, et donc de prendre l'avantage. À l'époque, Netscape récompense les hackers qui peuvent mettre en évidence des failles de sécurité de son logiciel.

Ce premier essai, plutôt réussi, n'a pas été forcément très suivi, et il faut attendre 2004 et Firefox de Mozilla — ex-Netscape — pour voir apparaître un autre bug bounty d'importance. Et là, par contre, tout s'enchaîne avec d'autres grandes sociétés comme Google ou Facebook qui mettent également en place des bug bounty. Les premières plateformes naissent alors outre-Atlantique. Le principe est finalement assez simple et repose sur des récompenses en fonction des bogues de sécurité qui sont remontés.
En début de semaine, la presse américaine a révélé comment une faille sur l’application Facetime d’Apple a été repérée par un adolescent de 14 ans qui jouait à Fortnite. La mère de l’enfant a soumis le rapport de bug aux développeurs de l’entreprise vendredi.
Il faut savoir que repérer un bug est un business à part entière. Par exemple, Apple, et son programme Bug bounty, offre des sommes qui peuvent se chiffrer à plusieurs centaines de milliers d’euros pour quiconque mettrait la main sur une faille de sécurité liée à une de ses applications.

Trouver des failles grâce à la communauté
« Le Bug bounty vient des Etats-Unis, explique Damien Bancal, spécialiste de la sécurité informatique et fondateur du site Zataz. Des entreprises se sont rendu compte que faire appel à des passionnés d’informatique constituait un moyen de tester la sécurité d’applications, de site Internet, et de corriger les failles repérées. »
Inscription ouverte à tous ceux qui veulent s’entraîner à hacker
En France, il en existe au moins deux dont Yes we hack, le plus connu, qui commence à attirer des entités gouvernementales. «  Le ministère de la Défense a passé un accord lors du FIC (le Forum international de la cybersécurité) à Lille la semaine dernière, pour tester ses applications », poursuit le spécialiste. « C’est devenu indispensable aujourd’hui parce que les entreprises n’ont pas forcément les moyens de payer des spécialistes, elles font appel à des entités Bug bounty.
Concrètement, toutes les personnes qui veulent s’entraîner à hacker peuvent s’inscrire. Le programme fait passer des tests pour évaluer le niveau du « chasseur » en informatique. Il fixe des règles : les entreprises à auditer, les sommes à gagner, les attaques interdites (DDOS, social engineering…).
Un travail à part entière
Lorsqu’on navigue sur hackerone.com, le programme Bug bounty associé à la firme à la pomme, on découvre différentes catégories de bugs à trouver : 200.000 dollars (174.651 euros) pour voir si on est capable d’extraire des informations à partir d’une zone sécurisée d’Apple, par exemple. Une autre catégorie invite l’informaticien à voir si on peut accéder à l’iCloud ou si on peut exécuter un code malveillant dans le système…
« Plus la faille est importante et plus elle va être corrigée rapidement, et plus ces sociétés vont protéger leur business et leurs clients. Il est normal de mettre de l’argent sur la table pour inciter ceux qui veulent le faire », analyse Damien Bancal. Ça pourrait donner des idées aux hackers chevronnés lassés par le métro , le boulot . D’autant que les montants peuvent grimper très haut.


0 commentaires: