Bonne nouvelle !!! Il est temps pour moi de vous dévoiler le fameux Projet X sur lequel j'ai teasé un peu la semaine dernière.

Si vous travaillez dans la sécurité informatique ou que votre société fait appel à des experts en sécurité, vous connaissez sans doute Yes We Hack Jobs, la partie site d'emplois spécialisés dans les métiers de la sécurité de Yes We Hack. Ce site, lancé lors d'une Nuit du Hack, a maintenant plusieurs années d'existence et fonctionne à plein régime. Et il y a quelques mois de cela, nous avons aussi lancé FireBounty, un agrégateur de bug bounties qui commence a bien se démocratiser.

Mais vous me connaissez et vous connaissez l'équipe de Yes We Hack, on n'est pas du genre à s'arrêter en chemin. C'est pourquoi, dès demain (le 21), juste après la conférence de presse, nous allons lancer B0unty Factory.

Capture d'écran 2016-01-18 18.16.31

Il s'agit de la première plateforme européenne de Bug Bounty. Pour ceux qui ne le sauraient pas encore, un programme de bug bounty permet à une entreprise de faire tester son site et ses applications dans un périmètre précis à tout chercheur en sécurité qui le souhaite. Si celui-ci découvre une faille, il informe alors l'entreprise qui le récompense, le plus souvent financièrement, et qui peut alors corriger la faille. Google, Facebook ou encore Mozilla proposent depuis longtemps leurs programmes de Bug Bounty pour la plus grande joie des pentesteurs (chercheurs en sécurité). Si le sujet vous intéresse, j'ai rédigé, il y a quelques semaines, un long article sur les bugs bounties.

Voilà pour le petit cours magistral sur ce qu'est un bug bounty ! ye

Le Bug Bounty a plusieurs avantages :

  • Il peut être lancé très rapidement (Nous avons même imaginé un générateur de bug bounty pour vous guider et si besoin, nous vous accompagnerons évidemment).
  • La recherche de vulnérabilité étant effectuée par des dizaines d'experts en sécurité, les retours obtenus sont très riches et variés.
  • Le bug bounty est un audit permanent.
  • Les récompenses sont attribuées en fonction du type de faille, de sa gravité, de sa fraicheur, et de la richesse des retours techniques qui l'accompagnent.
  • Le programme de bug bounty peut être proposé de manière publique ou privée à une poignée d'experts triés sur le volet.
  • Il permet de sécuriser le chercheur en sécurité en donnant un cadre officiel à son pentest.

Malheureusement, peu de sociétés se donnent la peine de rechercher des failles dans leurs plateformes. Et celles qui le font confient le plus souvent cette tâche à des prestataires qui effectuent des audits peu fréquents, onéreux et limités dans le temps. D'autres encore connaissent le principe du bug bounty et s'inscrivent sur des plateformes étrangères qui sont cools mais malheureusement toutes américaines.

Je dis malheureusement, car vous savez comme moi que toutes les entreprises américaines sont soumises au Patriot Act. Cela signifie que si une entreprise européenne confie son programme de Bug Bounty à une plateforme américaine, il se peut que les failles et les exploits envoyés par les chercheurs en sécurité du monde entier, intéressent de près des organisations comme la NSA. Cela est donc un exercice périlleux pour la société située en Europe.

Il était donc indispensable de proposer une plateforme de bug bounty qui soit Européenne et qui permette à toutes les sociétés d'améliorer leur sécurité, peu importe les pays où elles se trouvent. Pour résumer, B0unty Factory fait office d'intermédiaire technique, financier et législatif entre les pentesteurs et les sociétés qui souhaitent lancer leurs Bug Bounties. Si le sujet vous intéresse, je vous invite à lire notre FAQ.

Ce que nous allons proposer au sein de Yes We Hack, c'est un cercle vertueux entre les compétences des experts en sécurité qui recherchent du travail / des missions et les besoins en recrutement des entreprises. Une société qui recherche un bon expert en sécu pourra grâce à Yes We Hack, trouver les compétences qu'il lui faut, grâce au système de classement que nous avons mis en place côté bug bounty. En effet, les bug bounties permettront d'ajouter des points opérationnels au pentesteur afin de valoriser son profil sur Yes We Hack.

it-works

Notre but est de permettre à n'importe quelle société, qu'elle soit basée en Europe ou au-delà, d'améliorer fortement son niveau de sécurité. J'ai parfaitement conscience que lancer un bug bounty demande un certain effort, notamment pour tous ceux qui sont habitués à pratiquer de la sécurité par l'obscurité. Mais sachez que les failles remontées restent confidentielles (Pas de full disclosure ici) et qu'il vaut mieux offrir une récompense à quelqu'un qui a réussi à débusquer une faille pour pouvoir ensuite la corriger immédiatement, que de rester dans l'ignorance et constater qu'un jour, elle a été vendue et utilisée à mauvais escient.

L'équipe de Yes We Hack / B0unty Factory se compose de développeurs de talent, d'experts chevronnés en sécurité, et de professionnels du bug bounty. Nous avons tous de nombreuses années d'expérience dans la sécurité et l'entrepreneuriat et nous prenons ce chemin, car nous sommes convaincus que la sécurité participative (crowd security) est promise à un brillant avenir.

crowd_security

Pour le moment, même si vous pouvez vous inscrire sur le site, nous fonctionnons encore en beta privée. Nous avons déjà plusieurs partenaires avec lesquels nous travaillons, notamment le moteur de recherche européen Qwant qui dès demain va annoncer officiellement l'ouverture de son bug bounty chez nous. Ils ont été les premiers à lancer un bug bounty lors de la Nuit du Hack 2014 et ils seront les premiers à utiliser B0unty Factory.

Nous vous réservons évidemment bien d'autres surprises dans les jours et semaines à venir autour de B0unty Factory ! C'est le début d'une nouvelle aventure qui commence pour nous et j'espère que vous nous suivrez dans celle-ci ! Merci d'avance pour votre soutien !

La bonne nouvelle c'est que le projet a suscité l'attention d'investisseurs de type VC et nous nous lancerons prochainement dans notre première levée de fonds.

Pour les journalistes, blogueurs, youtubeurs...etc. qui le souhaitent, nous tenons une conférence de presse demain matin (le 21/01) à 9h15. Contactez presse@yeswehack.com si vous voulez y assister. Je serai aussi avec l'équipe YWH à Seine Innopolis (à Rouen) à 10h du matin le 22 janvier pour expliquer à la French Tech comment la crowd security et le bug bounty vont améliorer leur compétitivité. Tout un programme !

Pour en savoir plus, je vous invite à vous rendre sur YES WE HACK.