La chasse aux bugs, plus connue sous le nom de “bug bounty”, est devenue pratique courante en cybersécurité. Elle repose sur un principe simple : des entreprises mettent leur système (site internet, application, API, etc.) entre les mains de chercheurs dans le but de trouver de potentiels bugs ou vulnérabilités. En échange, ces hackers dits “éthiques” sont rémunérés à la faille trouvée.
Cette méthode, apparue dans les années 90, séduit de plus en plus d’organismes, allant de la start-up à la grosse entreprise du CAC 40, en passant par les agences publiques. En mai dernier par exemple, le programme de bug bounty de l’application StopCovid a été confié par l’Anssi et Inria à la plateforme française YesWeHack. A la clé : des primes pouvant aller jusqu’à 2 000 € pour les failles les plus sévères. “Nous avons relevé une augmentation très forte d’inscription sur notre plateforme avec StopCovid”, affirme Rodolphe Harand, directeur associé de YesWeHack, une des plateformes françaises de bug bounty.
Comment fonctionnent ces plateformes qui mettent en relation entreprises et hackers ?
“L’idée de base est de réussir à faire planter une application ou un site web de façon contrôlée”, explique Lucas Philippe, hacker chez YesWeHack. Le chercheur prend l’exemple d’un site marchand testé, sur lequel il a intégré des quantités négatives de produits dans le panier d’achat. En exploitant cette faille, le hacker pouvait mettre le total du panier en négatif et ensuite commander des produits gratuitement. “Parfois, il s’agit d’un bug tout bête pouvant avoir un impact énorme”, ajoute le hacker.
Pourquoi faire appel au bug bounty ?
Beaucoup d’entreprises ont des budgets contraints et préfèrent faire du bug bounty plutôt qu’un audit. “Avec le bug bounty, vous payez au bug. Avec un cabinet de conseil, le prix est fixe et sans garantie”, affirme Rodolphe Harand. “Le modèle s’adapte à toutes les organisations, grande comme petite. On peut par exemple mettre en relation un client et des chercheurs moins experts qui sauront faire le travail avec des primes moins élevées. C’est là où le modèle est intéressant. Il a une cohérence dans la récompense des hackers en fonction de l’effort et du temps demandés. Plus c’est difficile, plus il faudra les récompenser.”
Chez les GAFAM, la pratique est différente. “Ils utilisent de plus en plus le bug bounty pour tuer le marché noir sur lequel sont revendues des vulnérabilités permettant de faire de l’espionnage à grande ampleur. L’objectif est de remonter les bugs avant qu’ils soient mis sur le marché. Et pour cela, ils payent beaucoup plus cher : 50 à 100 000 $”, affirme Rodolphe Harand.
Comment sont réalisés les programmes ?
Une entreprise peut choisir de lancer une campagne publique ou privée. Dans la publique, l’ensemble des chercheurs présents sur la plateforme pourront essayer de débusquer les bugs. L’avantage : les chercheurs pourront voir les problèmes différemment. Dans la privée, seule une poignée de hackers travaillent sur la recherche de bugs, en général grâce à leur réputation acquise. “98 % des campagnes se réalisent en privé, détaille Rodolphe Harand. Ainsi, l’organisation ne va pas communiquer sur l’opération et va inviter une sélection de chercheurs qui pourront chercher des bugs et soumettre leurs rapports.”
Qui sont les hackers ?
Professionnels, ces chercheurs de bugs font la plupart du temps du bug bounty en plus de leur emploi rémunéré. “Ce sont des personnes qui ont une expertise technique et qui vont cultiver un intérêt pour la cybersécurité”, explique Rodolphe. “S’ajoute également une nouvelle génération composée d’étudiants et d’ingénieurs qui ont commencé jeunes et qui souhaitent faire carrière dans le bug bounty”. La plateforme YesWeHack regroupe plus de 120 nationalités.
Comment se réalise le recrutement ?
Pour devenir chercheur de bugs sur les plateformes, les candidats passent des tests de compétences, leur identité est vérifiée ainsi que leurs antécédents judiciaires. Chez Yogosha par exemple, pour qu’un chercheur puisse intégrer la plateforme, celui-ci doit faire une demande de compte. Dans un premier temps, les équipes s’assurent de sa fiabilité en vérifiant sa e-reputation. Ensuite, le chercheur passe une série de tests pour valider ses compétences techniques et pédagogiques. Une fois sélectionné, son identité est vérifiée avant de valider son accès à la plateforme.
Qui sont les acteurs ?
Le premier bug bounty a été réalisé dans les années 90, chez Netscape. Depuis, ce modèle est resté dans les entreprises de la Silicon Valley, puis largement adopté par les GAFAM. Sur ce modèle, plusieurs plateformes se sont créées. Au niveau mondial : l’américain HackerOne est le leader du marché. En Europe, les principaux acteurs sont les français YesWeHack et Yogosha. “Nous sommes l’alternative européenne”, ajoute Rodolphe Harand. “A partir du moment où vous mettez vos données dans le cloud américain et que ceux qui vous testent sont aux Etats-Unis, vous leur donnez les clés. Quand un chercheur [hacker, ndlr] réalise un rapport de vulnérabilité, il s’agit des clés de votre système : comment vous hacker. Ainsi, faire du bug bounty avec une plateforme américaine, c’est partager ses infos les plus précieuses avec un Etat tiers. C’est pour cela que les autorités françaises s’emparent du bug bounty.”
Dans l'actualité
- Chasseurs de bugs : 850 000 € de primes de l’Europe
- Souveraineté numérique : une fausse bonne idée ?
- La biométrie peut-elle remplacer les mots de passe ?
- COVID-19 : attention aux arnaques informatiques !
- L’informatique quantique : une réelle menace pour la sécurité des connexions
- Cybersécurité : l’Anssi annonce ses mesures et ambitions au FIC
- Applications de contact-tracing : une sécurité prise à la légère
- Le best of presse : au fil de l’actu sci-tech #3