Les programmes de Bug Bounty, ou « prime aux bugs », représentent alternative efficace et éprouvée pour tester la vulnérabilité des systèmes digitaux. Le principe est de récompenser financièrement les hackers ou « chasseurs de bugs » capables d’identifier, dans un cadre prédéfini, les failles logicielles auxquelles sont exposées les entreprises, leur permettant ainsi de les résoudre sans mettre leurs clients en danger. Le phénomène n’est pas récent mais son adoption à plus grande échelle est beaucoup plus récente. Réalisant des centaines de milliers de dollars, une communauté de “super chasseurs de bugs” a émergé, attirant souvent l’attention des recruteurs en cybersécurité.
Parmi les entreprises qui ont lancé un programme de Bug Bounty:
> Le géant électronique Apple, début août 2016, avec une récompense maximale de 200.000 dollars.
> Le géant de la cybersécurité Kasperksy début août pour une durée de six mois. Au cours de cette phase initiale, Kaspersky Lab offrira 50 000 dollars en primes aux chasseurs de bugs qui auront pour mission d’examiner Kaspersky Internet Security et Kaspersky Endpoint Security, les produits-phares de l’entreprise destinés respectivement aux particuliers et aux entreprises.
> Facebook a remis l’année passée 100.000 dollars à des chercheurs qui ont planché sur une série de vulnérabilités C++.
> Google a déboursé plus de 2 millions de dollars en 2015 dans ses programmes de chasse aux bugs.
> Dropbox avait lancé son programme via la plateforme américaine HackerOne en avril 2015.
> Twitter a également lancé un tel programme et a récompensé de plus de 10,000 dollars un chercheur indien qui a détecté un bug dans le code du service de vidéo de Twitter, Vine.
Un annuaire d’entreprises proposant un programme de Bug Bounty est disponible ici.
L’adoption de ces programmes ne se fait pas uniquement par des géants internet et ne sont pas tous publics. D’après le rapport “The State of Bug Bounty 2016”, sur près de 300 programmes, 25% sont lancés par des entreprises non tech, dont 3.83% par des entreprises en retail et e-commerce, et 65% des programmes sont privés.
> Le leader e-commerce Amazon n’offre pas encore de tel programme. Il existe une page de contact pour rapporter des vulnérabilités potentielles, mais il n’y est fait aucune mention d’un paiement. Un certain Ox2Taylor aurait réussi à obtenir les noms d’utilisateurs et mots de passe de plus de 80.000 utilisateurs de la liseuse Kindle, d’après ce qu’il a affirmé au média web DailyDot. Il prétend qu’après en avoir informé Amazon, le géant de l’e-commerce aurait désactivé les comptes et répondu que les comptes en question n’étaient pas des comptes de clients Amazon légitimes.
> A noter que la Bounty Factory, première plateforme européenne de Bug Bounty (voir https://yeswehack.com) a été lancée en début d’année par deux Français, largement inspirés par l’initiative américaine HackerOne présente aux Etats-Unis depuis 2014 et qui a déjà rassemblé pas moins de 250 entreprises. HackerOne affirmait en 2015 avoir reversé plus de 3 millions de dollars de récompenses aux participants.
La communauté YesWeHack à l’origine de l’initiative Bounty Factory teste le code de ses clients de manière systématique ou ponctuelle, via un programme public ou privé. L’entreprise choisit le périmètre, fixe un montant pour le Bug Bounty et bénéficie en retour de l’expertise des chasseurs de bugs de la communauté ou de l’équipe privée YesWeHack.
