Lors du Web2day, Fabrice Epelboin et Manuel Dorne ont présenté l’intérêt des programmes de Bug Bounty lors d’une table ronde animée par Guillaume Champeau. Le principe est le suivant : des entreprises demandent à des spécialistes de la sécurité de réviser leurs codes, tester leurs sites ou leurs applications, à la recherche de failles de sécurité. Les hackers sont ensuite rémunérés en fonction des failles repérées. Décryptage d’un phénomène dont la popularité n’est pas prête de décroître.

Présentation très intéressante sur le bug bounty avec @Korben et @YogoshaOfficial #Web2day pic.twitter.com/XhHVd5oteP

— Loïc NADJI (@LoicNadji) 7 juin 2017

L’intérêt du Bug Bounty pour les entreprises

L’utilisation de plateformes de Bug Bounty comme Bounty Factory ou Yogosha est intéressant à plusieurs titres pour les entreprises. D’une part, leurs développeurs en interne peuvent se concentrer sur la conception de nouvelles fonctionnalités plutôt que de consacrer un temps important à la recherche de failles. Si l’intérêt des audits de sécurité ponctuels reste entier, l’utilisation des Bug Bounty permet de repérer plus rapidement les failles, en continu. En interne, les développeurs apprennent aussi beaucoup grâce aux failles repérées par les hunters. Certaines entreprises sont réticentes à l’idée de “confier leur code” à des hackers, car ce terme est trop souvent connoté négativement. Pourtant, ces “hackers” ne sont “que” des passionnés d’informatique et des chercheurs en sécurité bienveillants.

Des sessions de recherches de failles publiques ou privées

Au sujet de ces hackers, aussi appelés hunters (c’est moins anxiogène) : les plateformes de Bug Bounty Yogosha et Bounty Factory ont des principes différents. Bounty Factory est une plateforme ouverte : on peut s’y inscrire librement, le classement dépend des failles découvertes. On peut créer des Bounty privés en sélectionnant des hunters connus ou reconnus, ou lancer des Bounty ouverts à toute la communauté. On obtient ainsi des retours très nombreux et très rapides, qui permettent de corriger rapidement les failles. Yogosha applique davantage de restrictions, puisque la communauté de hackers est basée sur la cooptation et la connaissance des membres. Ce critère permet de rassurer les clients potentiels (principalement des entreprises du CAC 40). Les mises en relation hunter/entreprise sont plus personnalisées. Ce principe permet aussi de réduire le rapport signal/bruit et donc les coûts de traitements inhérents aux signalements. Il est important de préciser que dans tous les cas, ce sont les entreprises qui fixent les règles du jeu : la typologie des failles concernées, les récompenses proposées en fonction des failles détectées et la plateforme à analyser (site desktop, mobile, application, préprod…).

#Web2Day oui, on peut faire du bug bounty sur un environnement de prod, à la docker, ce qui permet d'éviter de déployer la faille. @epelboin

— virginie galindo (@poulpita) 7 juin 2017

Chercheur en cybersécurité, un métier en tension

Côté entreprise, les deux plateformes fonctionnent avec un système de cagnotte, qui diminue au fur et à mesure que des bugs sont découverts. Coté hunter, la rémunération peut atteindre des sommets. Le mois dernier, le hacker le mieux payé sur Bounty Factory a touché 15 000 euros. À l’année, les rémunérations des meilleurs hunters peuvent dépasser les 500 000 euros. Le contexte actuel devrait accentuer les rémunérations perçues dans les prochaines années. Aujourd’hui, on estime qu’il n’y a qu’un chercheur en cybersécurité pour quatre offres d’emploi. L’évolution de législation en Europe va accroître ce besoin de spécialistes de la sécurité, notamment avec l’arrivée du Règlement Général sur la Protection des Données. Dès mai 2018, les entreprises auront une obligation de communication en cas d’exploitation d’une faille de sécurité. Cette nouvelle donne va accroître la tension sur ce marché.

L’intérêt du Règlement Européen pour les citoyens

Manuel Dorne est impatient : “C’est bien pour tout le monde. Les amendes seront salées, mais n’oublions pas que la vie privée de nombreuses personnes est impactée par ces fuites de données. Il est primordial que les entreprises se mettent au niveau et protègent les données personnelles de leurs clients”. Fabrice Epelboin rappelle que “lorsque les données d’utilisateurs sont volées sur les serveurs d’une entreprise, l’entreprise est rarement impactée directement. À partir de mai 2018, le principe de pollueur-payeur sera appliqué au numérique : si on me dérobe une donnée informatique, je deviens responsable et je dois communiquer publiquement. La perte de confiance envers les entreprises qui ne sécurisent pas les données sera grande et soudaine.” En revanche, nous devrons rester vigilant en relativisant la médiatisation de ces communications. Elles seront nombreuses dès le mois de mai 2018, mais cela ne signifie pas que les attaques et les failles seront plus nombreuses qu’auparavant. Le travail d’évangélisation sur la sécurité informatique, y compris auprès des profils non-techniques, sera long mais nécessaire.