Avez-vous déjà entendu parler du Bug Bounty ?

bug bounty ca vous dit quelque chose

Un sujet de préoccupation majeur, maintenant que de nombreuses données (souvent confidentielles) sont stockées sur le web, est celui de la sécurité informatique. Dans ce contexte, plusieurs entreprises se sont mises à proposer un programme de Bug Bounty qui consiste à récompenser les personnes qui trouveront des failles de sécurité sur un site web, une application ou une API. La récompense est généralement une somme d’argent, variable en fonction du type de la faille trouvée. Petite plongée au cœur d’une pratique qui tend à se démocratiser.

Un peu d’histoire

Historiquement, le premier Bug Bounty a été mis en place en 1995 par Netscape sous la forme d’un programme récompensant les personnes capables de remonter des failles de sécurité présentes dans son navigateur. Il faudra ensuite attendre 2004 pour que Mozilla propose 500 $ de récompense à quiconque trouverait une faille dans Firefox. En 2010, le géant Google inaugure à son tour un programme de Bug Bounty concernant tous ses services en ligne et ses outils.

Pourquoi le Bug Bounty ?

C’est sur les forums qu’a été découverte l’existence de personnes suffisamment passionnées pour « s’amuser » à identifier des bugs sur des sites web ou programmes, et même à créer des correctifs. De là est née l’idée du Bug Bounty. Il suffisait donc pour les entreprises de s’appuyer sur ces geeks (souvent des ingénieurs en informatique) et de canaliser leurs actions afin de bénéficier du fruit de leurs recherches (avant que des personnes mal intentionnées ne les utilisent à d’autres fins).

Les programmes connus… et leurs couacs

Depuis 2011, Facebook (qui voit toujours plus grand) associé à Microsoft a lancé un programme international de Bug Bounty The Internet Bug Bounty qui récompense l’identification de toute vulnérabilité sur les principaux outils du net comme PHP, Ruby, Flash, Apache…
Mais Facebook, qui possède son propre programme, s’est vu infliger une gentille correction lorsqu’il n’a pas voulu considérer une faille proposée par un étudiant comme un bug. Celui-ci a donc profité de cette faille pour poster une lettre sur le compte Facebook de Mark Zuckerberg.
Yahoo a pour sa part, subi de vives critiques après avoir envoyé des T-shirts Yahoo pour récompenser les personnes qui avaient trouvé des vulnérabilités sur son site !

Bug Bounty : les avantages

Un programme de Bug Bounty permet aux développeurs de découvrir et de corriger des bugs avant que le grand public en soit informé, évitant ainsi des abus. Si vous souhaitez identifier des failles de sécurité, vous pourriez faire appel à une société qui fera un audit, certes de qualité, mais qui ne sera valable qu’à un instant T. Il faudra donc en refaire régulièrement, ce qui coûte très cher.

Les promesses d’un programme de Bug Bounty vont bien au-delà, avec des tests de sécurité en continu, 24h/24, par des centaines de personnes et à moindre coût. D’autre part, un tel programme est signe d’une volonté de transparence de la part de l’entreprise et d’une volonté de protéger la sécurité de ses services. Enfin, il se peut même que ces entreprises arrivent à détourner certains hackers en leur proposant une rémunération au lieu d’en subir les conséquences !

Bounty Factory : une initiative européenne portée par des Français

Il n’y a pas qu’aux USA que l’on fait du Bug Bounty, pour preuve la récente ouverture de Bounty Factory : une initiative qui permet d’accompagner les entreprises qui souhaitent mettre en place un programme de ce genre. En tant qu’intermédiaire, la plate-forme se rémunère avec un pourcentage de la récompense et aide les entreprises à fixer un périmètre d’application sur lequel les chercheurs pourront rapporter des vulnérabilités.

Pour la sécurité de sites web, appli ou API, ne laissez ni les sociétés d’audit ni les hackers s’occuper de leurs éventuelles failles mais crowdsourcez la remontée des bugs grâce à un programme de Bug Bounty !  

Crédit photo : Flickr / Yuri Samoilov 

Commentaires

Laisser un commentaire