Les éditeurs de logiciels et d’applications mobiles n’ont pas toujours les compétences en interne, ou le temps, de vérifier si leurs programmes ont été mal développés et présentent des failles. Pour éviter que ces vulnérabilités ne soient exploitées par des cybercriminels, de plus en plus d’entreprises organisent des « chasses aux bugs ». Ces concours permettent à des hackers de remporter de (grosses) primes lorsqu’ils en découvrent.
Les piratages exploitant des failles de sécurité dans les logiciels se multipliant, de plus en plus d’éditeurs sont prêts à perdre un (tout petit) peu d’argent pour gagner plus de confiance de leurs utilisateurs.
Résultats, il existe de plus en plus de Bug Bounty. Organisés dans de nombreux pays, et notamment en France, ces concours sont l’occasion pour des hackers d’arrondir leurs fins de mois (les primes allant de 100 à 250 000 dollars !) ou de se faire connaitre (et parfois d’être embauchés par l’éditeur de logiciels, le site web ou l’entreprise qui a organisé ce challenge).
Pour fédérer les demandes, il existe des plates-formes dont la plus connue s’appelle HackerOne. Créée en 2012, elle compte plusieurs centaines d’entreprises clientes et a redistribué des millions de dollars de primes. En France, il y a Yes we hack co-fondé par notre partenaire Korben. Et il y a également des concours internationaux dont le plus célèbre est le Pwn2Own.
Contrairement à une idée reçue, cette pratique n’est pas récente puisque le premier Bug Bounty remonte à 1995 lorsque Nestcape souhaitait savoir si son Navigator 2.0 cachait des vulnérabilités.
Il y a ceux qui offrent de super primes et ceux qui ont des oursins…
Depuis, le nombre de Bug Bounty ne cesse d’augmenter, car les entreprises s’y sont mises également ; dès 2013 aux États-Unis, mais plus tardivement dans l’Hexagone (en 2017 après des cyberattaques touchant Saint-Gobain ou Renault). De nombreux secteurs d’activité ont intégré cette pratique, et en particulier les banques et les transports (comme Tesla et Airbus).
Les géants du web sont parmi les plus généreux. En 2018, Google a versé 3,4 millions de dollars de prime (une goutte d’eau lorsque le chiffre d’affaires du groupe atteint les 110 milliards de dollars…). Mais Tesla a de quoi attirer les talents. En mars dernier, un duo talentueux est reparti d’un concours avec 375 000 dollars (dont une voiture Tesla) de prime ! D’autres sont assez pinces comme Facebook qui n’a offert que 50 000 dollars à un hacker…
En octobre 2018, HackenProof, plate-forme de Bug Bounty, avait organisé un concours. Appelé HackenCup, cet événement avait rassemblé 25 hackers talentueux du monde entier. à la recherche de vulnérabilités dans trois produits. Le service de covoiturage russe Uklon était l’un d’eux.
Les hackers avaient découvert quatre vulnérabilités majeures, ce qui avait surpris (et séduit) le fondateur. Uklon n’est pas le seul à découvrir les avantages de ces concours. À la différence d’une équipe de la sécurité informatique intégrée à une entreprise, des hackers qui se défient lors d’un Bug Bounty se mettent réellement à la place d’un attaquant.
Motivés par la prime ou la réputation de l’entreprise (imaginez votre CV après avoir repéré une faille dans un iPhone ou sur le site de Facebook…), ils tentent par tous les moyens de « casser » la forteresse supposée imprenable de l’éditeur.
Pour les entreprises, ces concours permettent de détecter des vulnérabilités avant que les cybercriminels (ou des États) n’y parviennent avant eux et, surtout, ne les exploitent ! Un Bug Bounty est en effet un moyen efficace de repérer des erreurs logicielles et de configuration qui peuvent échapper aux développeurs.
3 gros Bug Bounty
Présenté lors de la conférence CanSecWest Security en mars 2017, le programme Bug Bounty d’Intel cible le matériel (processeurs, chipsets, disques durs, etc.), les firmwares (BIOS, Intel Management Engine, cartes mères, etc.) et les logiciels (pilotes, applications et outils) de la société.
Primes : de 500 à 100 000 dollars
En juillet 2017, l’éditeur avait lancé son programme de primes pour Windows. Les hackers peuvent gagner jusqu’à 15 000 dollars s’ils découvrent une vulnérabilité dans les services dans le cloud. Ceux qui recherchent un gain plus important s’intéressent plutôt à Hyper-V.
Primes : jusqu’à 250 000 dollars
Apple
Il n’y a pas de site officiel, l’éditeur lançant lui-même des invitations à des hackers. Lancé pour la première fois en septembre 2016, le programme de Bug Bounty d’Apple n’a initialement accueilli qu’une vingtaine de chercheurs en sécurité. Mais le géant américain reste assez discret sur cette pratique. Selon Ivan Krstic, du groupe Apple Security Engineering and Architecture, son employeur paierait 25 000 dollars pour des failles permettant à un pirate d’accéder à des données d’utilisateurs externes. La prime la plus élevée atteindrait 200 000 dollars pour les problèmes de sécurité affectant son firmware.
Primes : de 500 à 200 000 dollars