Cybersécurité : qu'est-ce qu'un Bug Bounty ?

Feb 15, 2018

6 mins

Cybersécurité : qu'est-ce qu'un Bug Bounty ?

Dans une période toujours forte de transformation digitale, les entreprises s’exposent à des menaces de plus en plus nombreuses et de plus en plus variées. Selon Gartner (entreprise américaine spécialisée dans le domaine des nouvelles technologies), le marché de la cybersécurité représentait plus de 100 milliards de dollars en 2017 et continuera d’afficher une croissance à deux chiffres dans les années à suivre. Face à ces menaces, la cyberdéfense doit se renouveler et imaginer de nouvelles parades à ces attaques invisibles, comme le Bug Bounty. Fabrice Epelboin, co-fondateur de Yogosha, une start-up spécialisée dans la cybersécurité via le Bug Bounty, a accepté de répondre à nos questions.

Une méthode de cyberdéfense participative

Un Bug Bounty est une récompense qu’une entreprise propose à qui trouvera une faille dans la sécurité de leur système informatique. Ils s’inscrivent dans le cadre de programmes au périmètre déterminé par l’entreprise mais en général, le hacker qui découvre une vulnérabilité ne doit, bien entendu, en aucun cas l’exploiter à des fins malveillantes et parfois proposer une solution pour la combler. « À nos débuts en 2015, nous proposions aux entreprises des simples Bug Bounties à la demande. Aujourd’hui, nous proposons des Bug Bounties que nous définissons de “privés” en s’appuyant sur une communauté que nous avons recruté avec grand soin afin de rassurer au maximum les entreprises. » nous explique Fabrice.

Avant la création des programmes Bug Bounty, les tests de hacking étaient organisés par des prestataires d’audit de sécurité ou effectués directement en interne par le service informatique des entreprises. Malheureusement, dans ce dernier cas, les équipes en charge de ces tests sont souvent les personnes responsables de la mise en place de ces solutions de sécurité. Ils n’ont donc pas le recul nécessaire pour pouvoir confronter leurs systèmes. Le Bug Bounty permet non seulement de multiplier le nombre de hackers travaillant sur le sujet mais aussi de soumettre son produit à des compétences de hacking variées et diversifiées, 24h sur 24, 7 jours sur 7. « On passe donc d’une logique de moyens à une logique de résultats, d’un diagnostic ponctuel à un audit continu qui peut s’interrompre et reprendre à tout moment et dont on peut modifier le périmètre de recherche à volonté. » nous précise Fabrice. « Les programmes Bug Bounty permettent plus de ressources, plus de créativité, de meilleurs résultats et surtout un meilleur retour sur investissement. »

« Les programmes Bug Bounty permettent plus de ressources, plus de créativité, de meilleurs résultats et surtout un meilleur retour sur investissement. »

Un concept qui nous vient des États-Unis

Le premier programme de Bug Bounty apparut dans les couloirs d’une entreprise pionnière dans le milieu des navigateurs et du web en général : Netscape. Créée en 1994 et rachetée par AOL en 1998, l’entreprise fut dissoute en janvier 2003. Avant de se faire racheter, 90% des internautes de l’époque utilisaient le navigateur web Netscape Navigator et Jarrett Ridlinghafer, un ingénieur travaillant au support technique, avait constaté que des communautés de “fanatiques” de Netscape corrigeaient d’eux-mêmes les bugs de la solution, sans aucun contrôle de la part de l’entreprise. Il eut alors l’idée de mettre en place le premier programme Bug Bounty de l’histoire. « À l’époque, les prix offerts aux chercheurs en sécurité étaient majoritairement des goodies. » C’était en 1995. Depuis la méthode a fait du chemin.

De par son aspect collaboratif, le Bug Bounty peut d’abord effrayer certains directeurs informatiques : « L’idée d’inviter n’importe qui à tester les défenses de leurs systèmes peut paraître inimaginables pour certaines entreprises : gérer au quotidien des relations avec des centaines voire des milliers de chercheurs ayant des origines et des compétences très disparates, demande des ressources et un savoir-faire que la plupart des entreprises n’ont pas. » Si les Bug Bounties se sont démocratisés dès 2013 aux États-Unis, ils ne sont arrivés que récemment en Europe, - notamment suite à des cyber-attaques perpétrées en 2017 sur des entreprises françaises comme Saint-Gobain ou Renault - où la mentalité est bien différente. En effet, les entreprises américaines aiment faire la promotion de ces initiatives tandis que leurs homologues européens préfèrent rester discrets sur le sujet, afin de garder leurs programmes de cyberdéfense les plus confidentiels possible. « En France, le Bug Bounty a eu un départ assez fulgurant. Il fut introduit sur le marché en 2015 et a déjà séduit plusieurs entreprises du CAC40. »

« En France, le Bug Bounty a eu un départ assez fulgurant. Il fut introduit sur le marché en 2015 et a déjà séduit plusieurs entreprises du CAC40. »

Les entreprises qui utilisent le Bug Bounty

Pour les plus grosses entreprises technologiques - comme Google, Facebook, Microsoft ou Yahoo - la cybersécurité est un enjeu particulièrement critique étant donné que leurs utilisateurs représentent plusieurs milliards de personnes. Prenons l’exemple de Google, qui rien que sur Gmail, comptait plus 900 millions d’utilisateurs en 2017. Pour garantir aux utilisateurs une confidentialité totale de leurs échanges personnels et professionnels, la plus célèbre filiale d’Alphabet a lancé en 2010 un programme de Bug Bounty permanent, encore actif aujourd’hui. Ce Vulnerability Reward Program (VRP) concerne toutes les propriétés web de Google et encourage les hackers du monde entier à venir tester la sûreté des différentes plateformes du groupe (Youtube, Google Wallet, Google Drive…) mais aussi de ses objets connectés (Google Home, Onhub, Next…). Les récompenses vont de 100$ pour des failles détectées dans les applications non-sensibles à plus de 100,000$ pour un vulnérabilité découverte qui donnerait accès au compte Google d’un ou de plusieurs utilisateurs. Rien que chez Google, ce sont au minimum trois programmes de Bugs Bounty qui sont en cours, couvrant également les systèmes Android et de Google Chrome.

La majorité des entreprises ressent aujourd’hui le besoin de mettre leurs systèmes de sécurité à l’épreuve pour pouvoir proposer des services de plus en plus sûrs à leurs clients, tout en les rassurant. Elles peuvent donc, à leur échelle, participer à la sécurisation des données sensibles de leurs utilisateurs. Parmi ces entreprises, nous retrouvons des banques (Western Union), mais aussi des constructeurs automobiles (Tesla) ou encore des compagnies aériennes (United Airlines). « Si les géants du web peuvent gérer eux-mêmes un Bug Bounty, ce n’est pas de le cas de toutes les entreprises, qui choisissent de passer par des plateformes spécialisées dans ce type de programmes qui se chargeront des aspects organisation promotion et gestion. »

En 2013, Microsoft et Facebook créèrent The Internet Bug Bounty ; un système de récompense à large échelle pour identifier et solutionner les bugs relatifs aux infrastructures Internet de base (systèmes d’exploitation, navigateurs web) et aux logiciels Open Source gratuits.

« Si les géants du web peuvent gérer eux-mêmes un Bug Bounty, ce n’est pas de le cas de toutes les entreprises, qui choisissent de passer par des plateformes spécialisées. »

Chercheurs ou hackers : les principaux acteurs

Si le terme “hacker” est souvent associé à des actes criminels ou malveillants, un hacker est simplement - par définition - un informaticien soucieux de contribuer à la sécurité d’Internet, souvent embauché par une entreprise pour assurer la sécurité de ses technologies. Dans le cas d’un programme Bug Bounty, les hackers sont identifiés comme des “friendly hackers” ou “hackers éthiques” : des sortes de justiciers au service des entreprises et récompensés en cas de résultat. Ils donnent une image positive et constructive du hacking tout en participant à la protection d’autrui. « Plutôt que de parler de hackers, nous préférons utiliser le terme de “chercheurs” qui nous semble plus approprié aux missions qui leur sont confiées : détecter des failles. »

Mais pourquoi un hacker prendrait-il alors encore des risques légaux à vendre ou à exploiter des données confidentielles au lieu de directement toucher une compensation en reportant la faille à l’entreprise concernée ? La réponse est simple : l’argent. Même si des millions de dollars sont dépensés chaque année en Bug Bounties par les entreprises qui investissent dans des programmes permanents ou dans des concours éphémères, ce n’est rien comparé à ce qu’un hacker pourrait gagner en dévoilant une vulnérabilité à une organisation criminelle.

« Plutôt que de parler de hackers, nous préférons utiliser le terme de “chercheurs” qui nous semble plus approprié aux missions qui leur sont confiées : détecter des failles. »

Mais pas de panique, parmi les spécialistes indiens, russes ou américains du Bug Bounty, la plupart des hackers sont des gens comme vous et moi qui travaillent dans la sécurité informatique et qui, pour arrondir les fins de mois ou simplement pour le challenge décident de participer à ce genre de programme. Certains en ont même fait leur métier ; le plus connu étant l’américain Mark Litchfield qui a accumulé plus de 750,000 $ en détectant et corrigeant des bugs d’entreprises diverses. Il a depuis lancé sa propre société pour aider les entreprises à lancer des programmes de Bug Bounty.

Finalement, avec cette armée de hackers “éthiques” veillant quotidiennement sur nos données confidentielles, nous dirigeons-nous vers un Internet plus sûr ou est-ce un effort futile destiné à nous rassurer, nous utilisateurs ?

SuivezWelcome to the Jungle sur Facebookpour recevoir tous nos meilleurs articles dans votre timeline !

Photo WTTJ