Si
vous n'êtes pas familier avec le secteur de la sécurité informatique,
il se peut que vous n'ayez jamais entendu parler des Bugs Bounty.
Et
pourtant, les sociétés qui les pratiquent sont de plus en plus
nombreuses. Pour faire simple, un bug Bounty est une récompense qu'une
société offre à tous ceux qui trouvent des failles de sécurité
dans un périmètre donné.
Ce périmètre peut être un site web, une
application, une API...etc., etc. C'est donc à l'entreprise de
déterminer les services que les gens vont pouvoir explorer à la
recherche de failles de sécurité.
Il y a bien sûr des règles
à respecter et chaque Bug Bounty doit énoncer clairement les
limites que le hacker ou l'expert ne doit pas franchir, mais en général,
comme ça se passe sur des services en production, il vaut mieux éviter
de tout casser si on veut sa récompense ;-).
D'ailleurs,
concernant le montant de la récompense, c'est assez variable d'une
société à l'autre et ça dépend surtout du type de faille remontée.
Plus la faille est critique, complexe, bien documentée avec si possible
un PoC (Proof of concept) et pourquoi pas des recommandations, voire un
patch, plus la récompense sera grande.
Évidemment, si vous trouvez des failles qui ont déjà été trouvées par un autre, vous ne recevrez aucune récompense.
Le
premier Bug Bounty a avoir vu le jour a été celui de Netscape qui en
octobre 1995 a décidé de récompenser les utilisateurs capables
d'identifier et de remonter des bugs de sécurité présents dans Netscape
Navigator 2.0.
9 ans plus tard, en 2004, ce fut le tour de
Mozilla aidé par Mark Shuttleworth (Canonical) d'offrir 500 $ de
récompense à tous ceux qui trouveront une faille dans Firefox.
Puis en 2007, le célèbre concours Pwn2Own a été lancé en marge de la conférence CanSecWest.
Les participants à ce bug Bounty doivent se pencher sur les failles de
sécurité présentes dans les principaux systèmes d'exploitation et
navigateur internet du marché, pour espérer toucher leur récompense.
Et
en 2010, c'est sans surprise que Google inaugure son programme de Bug
Bounty qui concerne tous ses services en ligne et ses outils. Les
hackers, développeurs, experts et passionnés du monde entier s'en
donnent alors à coeur joie sur les serveurs en prod de la société.
Depuis
2011, on peut dire que le bug Bounty est une pratique qui s'est
démocratisée. Facebook en partenariat avec Microsoft ont même lancé The Internet Bug Bounty,
un programme international récompensant les vulnérabilités découvertes
dans tous les principaux outils utilisés pour faire tourner le net :
Apache, Nginx, PHP, Ruby et... Flash ;-)
Je
ne vais rien vous apprendre, mais la majorité des entreprises qui
proposent des programmes de Bug Bounty sont dans le secteur de
l'high-tech comme DenyAll [PDF] qui en a organisé un en live lors de la Nuit du Hack 2015.
En
effet, ces derniers ont compris les nombreux avantages qu'il y a
à crowdsourcer une partie de sa sécurité. Mais j'y reviendrai plus
tard...
Ce qu'on remarque depuis 2014, c'est que de grosses
sociétés qui n'ont rien à voir avec la high-tech lancent aussi
leur bug Bounty.
Par exemple, dans le secteur bancaire, Western
Union a commencé à proposer en 2014 des récompenses allant de 50
à 5000 $. Puis en 2015, c'est au tour de United Airlines de proposer des miles sur ses vols en récompense, et à Tesla Motors de récompenser les chercheurs en sécurité à hauteur maximum de 1500 $ !
En avril 2014, les chercheurs de la société Detectify a découvert une faille XXE,
exploitant un parser XML utilisé par Google, ce qui leur a permis de
mettre la main sur n'importe quel fichier présent sur les serveurs du
célèbre moteur de recherche. Dans le cadre du programme de Bug Bounty de
Google, les chercheurs ont pu toucher 10 000 $ de récompense.
[Source]
En
Mars 2015, après avoir trouvé 3 vulnérabilités dans les sites de
Yahoo!, dont un bug critique donnant un accès admin total à Yahoo
Store, une plateforme d'ecommerce, le chercheur en sécurité Mark
Litchfield a empoché 24 000 $ grâce au programme de Bug Bounty.
[Source]
Traditionnellement, quand une entreprise souhaite effectuer un audit de ses services, elle engage une société qui fait du pentesting et peut alors accéder à un rapport détaillé de sa sécurité à un instant T réalisé par une ou deux personnes qualifiées. Évidemment, la société cliente doit recommencer ce genre de pentests régulièrement, si elle veut rester à jour et corriger ses nouvelles failles.
Malheureusement cela coûte très cher et elles sont très peu à le faire plusieurs fois par an. Avec un bon programme de Bug Bounty, une société peut faire tester la sécurité de son site ou de ses outils en continu, 24h sur 24h, par des centaines de personnes différentes, pour beaucoup moins cher. C'est là , la force du Bug Bounty.
Soumettre son application ou son site à un programme de Bug Bounty, c'est aussi être transparent vis-à-vis de sa sécurité, pouvoir être proactif et réagir vite en cas de vulnérabilité découverte. Mais surtout, cela permet de détourner du marché noir certains hackers qui s'intéressent à votre site, en leur proposant une rémunération tout ce qu'il y a de plus légale.
Quand on s'intéresse à la sécurité informatique, le Bug Bounty est aussi un excellent moyen de se faire les dents, pardon, les doigts sur des serveurs en production, appartenant le plus souvent à de belles boites, en toute légalité. Génial pour monter son niveau en pentest sans finir en prison :)
Alors maintenant, où trouver des Bug Bounty ?
Et bien en marge de YesWeHack, qui propose toujours des jobs dans la sécurité, on a mis en ligne FireBounty, un agrégateur de Bug Bounty.
Vous
y verrez donc tous les programmes de Bug Bounty qu'on peut actuellement
trouver sur la toile, qu'ils soient des gros sites spécialisés ou
directement sur les sites des différentes sociétés. Il y en a pour tous
les goûts et le site s'actualise régulièrement avec les nouveaux Bug
Bounty.
Sur Firebounty, vous pouvez entrer des mots clés en
fonction de ce que vous cherchez mais aussi filtrer les résultats pas
type de récompenses. Ca peut être de l'argent, ou des cadeaux, ou un
simple remerciement, voire la célébrité avec les fameux Hall of Fame des
sociétés.
Il est aussi possible de faire référencer son
programme de Bug Bounty. Donc si votre programme ou un programme que
vous connaissez nous a échappé, vous pouvez nous l'envoyer via le bouton
"Submit" qui se trouve dans le menu en haut à droite du site.
J'espère que ça vous plaira ;-)
J'ai aussi créé avec mes associés, la plateforme de Bug Bounty YesWeHack. Sur Bounty Factory, vous pourrez créer votre propre programme de bug bounty et faire tester vos sites et applications à des dizaines de chercheurs en sécurité.