Entrez vos identifiants

x
OU
Vous avez oublié votre mot de passe ?
Utilisateur wiki : vous n'aviez pas d'email ?

Korben - Site d'actualité geek et tech

Go Top

10 bonnes raisons de lancer un programme de bug bounty

3

bugbounty

Avant de rentrer dans le vif du sujet, j'ai quand même un petit truc à vous dire :

=== BOUNTY FACTORY EST OUVERT A TOUS ! ===

=== VOUS POUVEZ ENFIN VOUS INSCRIRE ===

Si vous n'êtes pas encore familier avec ce terme, sachez que le Bug Bounty est un bon moyen de parfaire la sécurité informatique de votre business. Il s'agit d'une récompense, souvent financière, accordée par une entreprise, à tous ceux qui découvrent une faille dans son site, son application, ses services...etc.

Beaucoup de professionnels connaissent encore très mal cette pratique inventée par Netscape en 1995 et c'est bien dommage, car elle a de nombreux avantages. Pour vous les exposer, mais aussi pour fêter l'ouverture au public cette semaine, de BountyFactory, et le lancement lors de la Nuit du Hack du Bug Bounty privé d'OVH, j'ai choisi de vous donner les 10 bonnes raisons de lancer un programme de Bug Bounty.

Après cela, vous serez forcement convaincu ! J'en suis certain !

1/ Ça permet d'avoir un retour direct sur les failles découvertes.

En effet, lorsque quelqu'un découvre une faille sur votre site, il dispose de plusieurs options. Vous prévenir (et ça, c'est cool), passer son chemin, exploiter la faille, ou la revendre à quelqu'un d'autre. Avec ces 3 dernières options, vous n'avez aucun retour constructif, ni même la connaissance qu'une faille existe. Vous restez donc exposé et risquez à tout moment de basculer dans un cauchemar. Le Bug Bounty permet d'être proactif sur sa sécurité en amenant cette information cruciale jusqu'à vous.

gif-keyboard-14470833452978696340

2/ Vous payez uniquement au résultat.

C'est vous qui fixez les montants des récompenses et seules les failles qui impliquent une action corrective de votre part sur la configuration de votre serveur ou votre code, doivent être payées.

gif-keyboard-6682850652117908518

3/ Ça permet d'intégrer la sécurité dès le démarrage d'un projet.

Les audits de sécurité traditionnels restent indispensables mais un Bug Bounty permet de compléter votre arsenal défensif. Ça permet d'intégrer la notion de sécurité dès le démarrage de votre projet sans engager tout de suite trop de frais. Il est recommandé de démarrer par un Bug Bounty privé qui sera un peu plus onéreux mais qui vous permettra de bénéficier du retour des meilleurs hunters (Top 20 / Top 50 / Top 100) afin de colmater les failles les plus évidentes. Ensuite, une fois qu'un bon niveau de sécurité a été atteint, vous pourrez rendre public votre programme.

gif-keyboard-13958531239101577005

4/ Vous profitez d'une expertise variée

Dans le cadre d'un audit de sécurité ou d'un contrôle en interne par vos équipes, vous disposez d'un champ d'expertise limité à quelques personnes. Avec le Bug Bounty, ce seront des dizaines, voire des centaines de personnes (hunters) qui se pencheront sur la sécurité de votre site. Vous bénéficierez de leur expérience riche et variée, amenant naturellement à un nombre plus important de failles découvertes.

gif-keyboard-11646099831328311055

5/ Vous n'êtes pas limité dans le temps

Là ou un audit intervient une à deux fois par an, sur une durée de quelques jours, le Bug Bounty permet de profiter d'une veille agile et constante 7j/7j, 24h/24h, et cela même si votre code évolue.

gif-keyboard-8026611570609041138

6/ Vous évitez le marché noir ou les exploitations sauvages

Même si personne ne pourra jamais vous le garantir à 100%, en proposant un programme de Bugs Bounty, vous cassez le marché noir et vous remettez dans le droit chemin, des gens qui auraient été tentés d'exploiter une faille découverte. Vous êtes proactif sur votre sécurité, et cela vous permet de vous protéger plus efficacement, en évitant un éventuel bad buzz.

gif-keyboard-6600518337831580757

7/ Vous gardez le contrôle

C'est vous qui définissez le périmètre. Ainsi, cela vous permet d'y aller progressivement en proposant aux hunters uniquement les sites, applications ou services que vous avez sélectionnés. C'est vous qui choisissez le montant et le type des récompenses. C'est vous qui décidez si votre programme de Bug Bounty doit être lancé en public ou en privé. Et vous pouvez mettre en pause ce programme à tout moment afin de prendre le temps de corriger les failles découvertes. Vous avez le contrôle à 100%.

gif-keyboard-14919646642362918608

8 / Vous montez en compétence

Que ce soit pour vous ou pour vos équipes sécurité ou développement, chacun trouvera de quoi monter en compétences grâce aux retours que vous feront les hunters. Ainsi, vos développeurs seront sensibilisés et leurs prochaines productions seront beaucoup plus résistantes en termes de sécurité.

gif-keyboard-7229330231984053878

9/ Ça permet de faire un bon coup de comm

Communiquer autour du fait que vous avez un programme de Bug Bounty permet de rassurer quant à la robustesse de vos systèmes et met en valeur votre état d'esprit proactif sur le sujet de la sécurité. Si en plus, vous donnez de jolies récompenses, votre image n'en sera que plus belle auprès de la communauté des experts en sécurité.

gif-keyboard-16316865389633782960

10/ C'est simple !

Contrairement à ce qu'on pense, lancer un programme de Bug Bounty n'est pas compliqué. Vous pouvez choisir de le faire par vous même ou opter pour une plateforme comme la mienne Bounty Factory, qui vous guidera pas à pas. Attention toutefois, un programme de Bug Bounty, ça se prépare. Vous devez établir le bon périmètre, le bon montant des récompenses, et il faut pouvoir réagir vite pour répondre aux hunters, éviter les doublons, qualifier la criticité des failles, puis les corriger. Chez Bounty Factory, on vous accompagne pour rédiger le meilleur périmètre possible et on propose même, si ça vous intéresse, une prise en charge totale de votre programme pour que vous puissiez vous concentrer sur autre chose que ça.

gif-keyboard-9708205989847002940

Voilà ! Si avec ça, vous n'êtes pas convaincu, c'est que je ne peux plus rien faire pour vous. Sachez enfin que Bounty Factory est conçu et hébergé à 100% en France et que tous nos partenaires, qu'ils soient techniques (paiement, signature électronique...Etc) ou commerciaux (pour le Program Manager...etc), sont à minima localisés en Europe et respectent tous la législation Européenne.

Quant à ceux qui voudraient devenir hunters et s'essayer à quelques programmes de Bug Bounty, pour arrondir les fins de mois ou gagner en compétence, la plateforme Bounty Factory est enfin ouverte à tous, donc inscrivez-vous et rejoignez la communauté ! Une fois votre compte créé, vous verrez les programmes publics et les entreprises qui ont opté pour un programme privé, comme OVH, pourront vous inviter à y participer.

Et si vous avez des questions, prenez contact via le formulaire de Bounty Factory ou écrivez moi directement et je répondrai à toutes vos questions.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Flatpak – Pour créer des applications standalone pour Linux

3

Screenshot 2016-06-22 14.19.46

Anciennement connu sous le nom de xdg-app, le framework Flatpak permet aux développeurs de packager une application Linux pour qu'elle tourne directement, peu importe la version Linux installée et les paquets présents ou non sur la machine. Cela permet d'éviter les soucis de dépendances qui donnent toujours des cheveux blancs aux débutants linuxiens.

Screenshot 2016-06-22 13.57.10

Question sécurité, les applications Flatpak sont aussi isolées du reste du système grâce à une sandbox, tout comme les packages Snap qui est une techno similaire développée par les équipes de Canonical (Ubuntu).

Flatpak a donc exactement les mêmes avantages et les mêmes défauts que pour Snappy, sauf qu'il n'est pas réservé uniquement à Ubuntu (Edit : On vient de me dire que Snappy n'était plus réservé uniquement à Ubuntu ! Good news) et fonctionne sur toutes les distribs Linux.

Si le sujet vous intéresse, tout est expliqué sur le site officiel.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Gagner de l’argent avec sa passion ?

7

passion

Bon, c'est un peu simpliste comme infographie, mais ça vous donnera peut-être quelques idées si vous avez une passion ou un hobby dévorant et que vous voulez faire un peu de sous avec.

Et je pense bien sûr que ça ne se limite pas aux grands classiques listés ci-dessous mais qu'il est possible de tirer un revenu de tout, même si votre passion est hyper confidentielle.

HobbiesMoney-DV5-UK

J'avoue que pour moi, sur la partie blogging, ça a fonctionné même s'il m'a fallu 8 ans avant de commencer à gagner de quoi me payer un SMIC. Mais c'est ça qui est bien avec les passions, c'est qu'on peut le faire pour le plaisir, durant des années et abattre un boulot monstre, sans se soucier du moindre ROI. (retour sur investissement)

Ceux qui ont vu ma conf à QueDuWeb où j'ai retracé mes 12 années de blogueurs, voient sûrement de quoi de je veux parler. Bref, l'important c'est de s'amuser et si en plus, on peut en faire un travail qui au final ne sera jamais pénible, c'est la situation idéale !!

Source

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Ce député vient de demander l’interdiction du Bitcoin. J’exige qu’on lui fasse un dépistage de drogue !

29

78fba6df8a1be5965335f7b89666ef59_large

Dans la famille "Députés à la ramasse", je demande le grand-père : Bernard Debré.

Dans une longue tirade sur la facilité de se procurer du chichon via la Poste, il en vient à la conclusion facile qu'il faudrait "interdire le Bitcoin". (Lui dit le "bitcoined", allez savoir pourquoi)

Je vous laisse regarder la vidéo et je vous reprends après...

Bon, je ne nie pas qu'il est relativement simple de commander de la drogue via le Net, même si ça reste toujours risqué, les colis étant quand même (un peu) surveillés.

Je ne nie pas non plus qu'il serait intéressant d'étudier ce nouveau mode de distribution, et au passage, j'adore la tête de Bernard "Gazeneuve" qui semble sortir de sa crèche en mode "Ah bon, je ne savais pas ?". Mais j'ai quand même 2/3 petites choses à dire, sur le raccourci emprunté par Nanar Debré sur le Bitcoin.

Le Bitcoin est une monnaie virtuelle. Elle est utilisée légalement et illégalement pour tout un tas de trucs. Exactement comme le sont l'Euro et le Dollar. Hé non, contrairement à ce qu'on vous dit à la télévision, le Bitcoin n'est pas utilisé uniquement / majoritairement pour des transactions illégales. Et je pense que dans le top des monnaies utilisées pour des trucs illégaux, le dollar et l'euro restent dans les premières places.

Si je poursuis le raisonnement de ce député, la drogue c'est dangereux donc on a interdit la drogue. Et la drogue s'achète avec des Bitcoins donc interdisons les Bitcoins. Et les Bitcoins s'achètent avec des euros, donc interdisons aussi les Euros. Ou mieux, comme les Bitcoins s'achètent via Internet et que les petits colis sont livrés par La Poste, interdisons carrément Internet et La Poste...

Vous le savez, son raisonnement est idiot. Admettons qu'un hypothétique gouvernement interdise vraiment le Bitcoin, que va-t-il se passer ?

Et bien ceux qui achètent de la drogue continueront à la payer en Bitcoins (Ils ne sont pas à un délit près). Et les braves gens qui respectent la loi n'utiliseront plus de Bitcoins. Ça ne changera donc rien sur le plan "lutte contre le trafic de drogue".

Il en va de même pour ceux qui pensent qu'il est possible d'interdire les plateformes de vente de drogue en ligne. Elles sont déjà illégales et pourtant, elles sont présentes et tournent à plein régime. Comme les sites de téléchargement illégal, certaines fermeront et d'autres viendront les remplacer. Regardez simplement ce qui c'est passé avec Silk Road. A peine fermé, il a été remplacé par des tas de sites similaires.

L'autre aspect est plus technologique. Interdire le Bitcoin, c'est comme interdire le P2P ou les GIF animés. Ce n'est pas possible techniquement. Ils pourront essayer par tous les moyens, ils s'y casseront le dentier ou ce qu'il leur reste de dents.

Maintenant sur l'aspect drogue, ce qu'il faut comprendre aussi c'est que c'est un gros business pour un tas de gens. On forme des policiers, on leur vend du matériel et des armes toujours plus performantes, on les militarise et on fait grimper les chiffres des gardes à vue et on fait tourner les prisons. Il s'agit d'un véritable écosystème financier qui repose sur cette lutte contre la drogue. Des tas de gens gagnent très bien leur vie grâce à ça.

Et pourtant, pouvoir vendre ou acheter de la drogue depuis chez soi, sans mettre le nez dans la rue, sans aller au contact des dealers armés ou des acheteurs en manque, c'est rendre ce marché illégal, plus sûr pour tous ceux qui s'y baladent. C'est exactement comme les distributeurs de seringues, ou les salles de shoot. Ça permet de réduire une grande partie de l'aspect dangereux de cette activité illégale. Moins de guerres de gangs, moins de luttes pour le territoire, moins de mafias. Et mécaniquement moins de violence physique et moins de morts dans la rue.

Mais aussi moins de business pour cette économie de la lutte contre la drogue. Moins d'argent pour les vendeurs de matériel policier, moins de monde en prison, moins de gardes à vue, moins d'interventions musclées avec dégâts collatéraux. C'est en tout cas comme ça que je vois les choses.

Je précise que je n'ai jamais consommé de drogue (à part du chocolat noir ), que je suis totalement opposé à la vente libre de drogue, même si je pense que la dépénalisation du cannabis serait une bonne chose pour l'économie. Mon raisonnement est le suivant : puisque la vente d'alcool ou de cigarette est autorisée, je ne vois pas pourquoi on bloquerait celle du cannabis. Ou si interdiction du cannabis il y a, je vote pour qu'on interdise aussi l'alcool et la clope, par souci de cohérence.

Et si vous pensez que je suis en train de faire l'apologie de la drogue c'est que vous êtes un beau spécimen de mal-comprenant.

Ce qu'il faut bien comprendre dans mon raisonnement, c'est que je sais qu'on ne pourra pas empêcher une personne qui se drogue d'acheter de la drogue et d'en consommer, si elle le désire vraiment. C'est, comme je le disais plus haut, sur ce principe qu'ont été mis en place les salles de shoot ou les distributeurs de seringues pour réduire la transmission de maladie ou la violence dans la rue. Je pense que les opérations de sensibilisation aux risques doivent continuer et que la lutte contre le trafic de drogue doit se poursuivre, qu'il s'agisse de vente par correspondance ou de deal à l'ancienne dans la rue.

Mais je pense aussi que ces nouvelles habitudes de vente par correspondance, via le Net, restent quand même un "progrès" car cela permet de réduire la violence, les blessés et les morts. Et ça on le doit à Internet et à l'ingéniosité des gens qui cherchent sans cesse à contourner les lois.

Pour en revenir au Bitcoin, l'interdire serait totalement inutile, voire pénalisant pour ceux qui l'utilisent légalement. Ce serait un peu comme couper le Net à tout le pays pour empêcher que les lycéens trichent au Bac. Ne rigolez pas, l'Algérie vient de le faire et ceux qui voulaient vraiment tricher n'ont eu besoin que d'un VPN pour braver le blocage.

Bref, Bernard Debré est en possession de ce qui s'appelle une fausse bonne idée. Surement quelque chose qui lui a été soufflé par quelqu'un qui est au mieux incompétent, ou qui au pire, a des intérêts économiques contraires à ceux qui utilisent chaque jour les monnaies virtuelles.

Bref, on n'est pas sorti de l'auberge.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Concevez un boitier pour le Raspberry Pi 3 et je vous l’imprime [Concours]

15

PiWallpaper3

Ce mois-ci, j'ai décidé d'organiser avec mon partenaire Kubii, un petit concours créatif qui je pense va vous plaire.

L'idée est la suivante : Vous imaginez le boitier de vos rêves pour le Raspberry Pi 3, vous le concevez en 3D et vous m'envoyez le fichier au format .STL avant le 10 juillet.

Pour créer un modèle aux bonnes dimensions, vous trouverez toutes les infos techniques ici

La seule limite est votre imagination. Je sais que certains seront tentés d'aller sur Thingiverse ou autre pour choper le premier modèle venu, mais ce serait trop simple. Je vous invite plutôt à le concevoir de zéro ou si vous reprenez quelque chose d'existant (pour avoir les dimensions par exemple), à vraiment le modifier pour le rendre encore plus cool.

IMG_20160620_150506

Puis le 12 juillet, je lance un vote sur le site pour que chacun puisse donner son avis sur vos créations (et démasquer les tricheurs ^^). Et le 15 juillet, clôture du concours, avec les 3 gagnants désignés par vous qui remporteront chacun leur oeuvre imprimé en 3D par mes soins, ainsi que (dans l'ordre d'arrivée) :

Je précise quand même pour les relous que les créations ne seront pas exploitées commercialement par Kubii ou par moi. Au mieux, je les mettrais en téléchargement sur le blog pour que tout le monde puisse les récupérer et les imprimer chez soi, mais ça s'arrêtera là.

J'attends avec impatience vos créations ! Vous pouvez me les envoyer sur : "rpicontest @ korben POINT info".

Que le meilleur gagne !

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

L’Expert

6

L’Expert

J'sais pas pour vous, mais j'ai déjà vécu ce genre de situation. En plus subtil évidemment mais quand même... Tordant de rire en tout cas.

Merci à Thomas.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Survival geek

Kit de survie Geek - Mon sac à dos ultime

Vous le savez, je bouge beaucoup. Et comme en ce moment, c’est pire que d’habitude, je me suis refait un joli sac à dos tout beau. En mode kit de survie Geek évidemment. En américain, ça s’appelle EDC.

Pour ceux qui ne connaitraient pas ce terme EDC ça veut dire Everyday Carry. En gros, c’est ce que vous emmenez tous les jours sur vous afin de prévenir n’importe quel pépin.

Les survivalistes sont friands de ce genre de matériel...

Lire la suite de l'article

Posté par Korben


  • Rejoignez les 58039 bidouilleurs de la grande famille des Korbenautes
    «Je considère que votre email est aussi important que le mien.»
    Korben
  • DANS TON CHAT (BASHFR)

    Panda: Hier soir je me suis fait une soirée PC à thème.
    Panda: Defcon, S.T.A.L.K.E.R, alerte virus Avast.
    Panda: Trouves l'invité surprise...

    -- http://danstonchat.com/6733.html
  •  
  • RSS Emplois sécurité

  • Site hébergé par
    Agarik Sponsor Korben
  • RSS Offres d’emploi

  •  
  • Comment re-synchroniser des sous-titres

    ou le son d’une vidéo avec VLC

    Pour regarder mes séries, j'utilise probablement comme la majorité d'entre vous, VLC. Et hier, j'avais une galère de sous-titres un poil décalés. Mon premier réflexe a été...lire la suite

    Comment vérifier que votre connexion VPN

    est bien étanche

    Vous surfez à travers votre petit VPN et vous êtes bien content, car vous vous sentez à l'abri. Mais avez-vous pensé aux petites fuites qui peuvent survenir à tout moment ?...lire la suite

    En ce moment dans l'univers "Raspberry Pi"

    Voir tous les articles »