Le business du bug bounty

Si vous n'êtes pas familier avec le secteur de la sécurité informatique, il se peut que vous n'ayez jamais entendu parler des Bugs Bounty.

Et pourtant, les sociétés qui les pratiquent sont de plus en plus nombreuses. Pour faire simple, un bug Bounty est une récompense qu'une société offre à  tous ceux qui trouvent des failles de sécurité dans un périmètre donné.

Ce périmètre peut être un site web, une application, une API...etc., etc. C'est donc à  l'entreprise de déterminer les services que les gens vont pouvoir explorer à  la recherche de failles de sécurité.

Il y a bien sûr des règles à  respecter et chaque Bug Bounty doit énoncer clairement les limites que le hacker ou l'expert ne doit pas franchir, mais en général, comme ça se passe sur des services en production, il vaut mieux éviter de tout casser si on veut sa récompense ;-).

D'ailleurs, concernant le montant de la récompense, c'est assez variable d'une société à  l'autre et ça dépend surtout du type de faille remontée. Plus la faille est critique, complexe, bien documentée avec si possible un PoC (Proof of concept) et pourquoi pas des recommandations, voire un patch, plus la récompense sera grande.

Évidemment, si vous trouvez des failles qui ont déjà  été trouvées par un autre, vous ne recevrez aucune récompense.

Le premier Bug Bounty a avoir vu le jour a été celui de Netscape qui en octobre 1995 a décidé de récompenser les utilisateurs capables d'identifier et de remonter des bugs de sécurité présents dans Netscape Navigator 2.0.

9 ans plus tard, en 2004, ce fut le tour de Mozilla aidé par Mark Shuttleworth (Canonical) d'offrir 500 $ de récompense à tous ceux qui trouveront une faille dans Firefox.
Puis en 2007, le célèbre concours Pwn2Own a été lancé en marge de la conférence CanSecWest. Les participants à ce bug Bounty doivent se pencher sur les failles de sécurité présentes dans les principaux systèmes d'exploitation et navigateur internet du marché, pour espérer toucher leur récompense.
Et en 2010, c'est sans surprise que Google inaugure son programme de Bug Bounty qui concerne tous ses services en ligne et ses outils. Les hackers, développeurs, experts et passionnés du monde entier s'en donnent alors à coeur joie sur les serveurs en prod de la société.

Depuis 2011, on peut dire que le bug Bounty est une pratique qui s'est démocratisée. Facebook en partenariat avec Microsoft ont même lancé The Internet Bug Bounty, un programme international récompensant les vulnérabilités découvertes dans tous les principaux outils utilisés pour faire tourner le net : Apache, Nginx, PHP, Ruby et... Flash ;-)

Je ne vais rien vous apprendre, mais la majorité des entreprises qui proposent des programmes de Bug Bounty sont dans le secteur de l'high-tech comme DenyAll [PDF] qui en a organisé un en live lors de la Nuit du Hack 2015.

En effet, ces derniers ont compris les nombreux avantages qu'il y a à  crowdsourcer une partie de sa sécurité. Mais j'y reviendrai plus tard...

Ce qu'on remarque depuis 2014, c'est que de grosses sociétés qui n'ont rien à  voir avec la high-tech lancent aussi leur bug Bounty.

Par exemple, dans le secteur bancaire, Western Union a commencé à  proposer en 2014 des récompenses allant de 50 à  5000 $. Puis en 2015, c'est au tour de United Airlines de proposer des miles sur ses vols en récompense, et à  Tesla Motors de récompenser les chercheurs en sécurité à  hauteur maximum de 1500 $ !

Traditionnellement, quand une entreprise souhaite effectuer un audit de ses services, elle engage une société qui fait du pentesting et peut alors accéder à un rapport détaillé de sa sécurité à un instant T réalisé par une ou deux personnes qualifiées. Évidemment, la société cliente doit recommencer ce genre de pentests régulièrement, si elle veut rester à jour et corriger ses nouvelles failles.
Malheureusement cela coûte très cher et elles sont très peu à le faire plusieurs fois par an. Avec un bon programme de Bug Bounty, une société peut faire tester la sécurité de son site ou de ses outils en continu, 24h sur 24h, par des centaines de personnes différentes, pour beaucoup moins cher. C'est là , la force du Bug Bounty.
Soumettre son application ou son site à un programme de Bug Bounty, c'est aussi être transparent vis-à-vis de sa sécurité, pouvoir être proactif et réagir vite en cas de vulnérabilité découverte. Mais surtout, cela permet de détourner du marché noir certains hackers qui s'intéressent à votre site, en leur proposant une rémunération tout ce qu'il y a de plus légale.
Quand on s'intéresse à la sécurité informatique, le Bug Bounty est aussi un excellent moyen de se faire les dents, pardon, les doigts sur des serveurs en production, appartenant le plus souvent à de belles boites, en toute légalité. Génial pour monter son niveau en pentest sans finir en prison :)

Alors maintenant, où trouver des Bug Bounty ?

Et bien en marge de YesWeHack, qui propose toujours des jobs dans la sécurité, on a mis en ligne FireBounty, un agrégateur de Bug Bounty.

Vous y verrez donc tous les programmes de Bug Bounty qu'on peut actuellement trouver sur la toile, qu'ils soient des gros sites spécialisés ou directement sur les sites des différentes sociétés. Il y en a pour tous les goûts et le site s'actualise régulièrement avec les nouveaux Bug Bounty.

Sur Firebounty, vous pouvez entrer des mots clés en fonction de ce que vous cherchez mais aussi filtrer les résultats pas type de récompenses. Ca peut être de l'argent, ou des cadeaux, ou un simple remerciement, voire la célébrité avec les fameux Hall of Fame des sociétés.

Il est aussi possible de faire référencer son programme de Bug Bounty. Donc si votre programme ou un programme que vous connaissez nous a échappé, vous pouvez nous l'envoyer via le bouton "Submit" qui se trouve dans le menu en haut à  droite du site.

J'espère que ça vous plaira ;-)

J'ai aussi créé avec mes associés, la plateforme de Bug Bounty YesWeHack. Sur Bounty Factory, vous pourrez créer votre propre programme de bug bounty et faire tester vos sites et applications à des dizaines de chercheurs en sécurité.