Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Bounty Factory – Je vous dis tout sur le Projet X que j’ai annoncé la semaine dernière

Bonne nouvelle !!! Il est temps pour moi de vous dévoiler le fameux Projet X sur lequel j’ai teasé un peu la semaine dernière.

Si vous travaillez dans la sécurité informatique ou que votre société fait appel à des experts en sécurité, vous connaissez sans doute Yes We Hack Jobs, la partie site d’emplois spécialisés dans les métiers de la sécurité de Yes We Hack. Ce site, lancé lors d’une Nuit du Hack, a maintenant plusieurs années d’existence et fonctionne à plein régime. Et il y a quelques mois de cela, nous avons aussi lancé FireBounty, un agrégateur de bug bounties qui commence a bien se démocratiser.

Mais vous me connaissez et vous connaissez l’équipe de Yes We Hack, on n’est pas du genre à s’arrêter en chemin. C’est pourquoi, dès demain (le 21), juste après la conférence de presse, nous allons lancer Bounty Factory.

Capture d'écran 2016-01-18 18.16.31

Il s’agit de la première plateforme européenne de Bug Bounty. Pour ceux qui ne le sauraient pas encore, un programme de bug bounty permet à une entreprise de faire tester son site et ses applications dans un périmètre précis à tout chercheur en sécurité qui le souhaite. Si celui-ci découvre une faille, il informe alors l’entreprise qui le récompense, le plus souvent financièrement, et qui peut alors corriger la faille. Google, Facebook ou encore Mozilla proposent depuis longtemps leurs programmes de Bug Bounty pour la plus grande joie des pentesteurs (chercheurs en sécurité). Si le sujet vous intéresse, j’ai rédigé, il y a quelques semaines, un long article sur les bugs bounties.

Voilà pour le petit cours magistral sur ce qu’est un bug bounty ! ye

Le Bug Bounty a plusieurs avantages :

  • Il peut être lancé très rapidement (Nous avons même imaginé un générateur de bug bounty pour vous guider et si besoin, nous vous accompagnerons évidemment).
  • La recherche de vulnérabilité étant effectuée par des dizaines d’experts en sécurité, les retours obtenus sont très riches et variés.
  • Le bug bounty est un audit permanent.
  • Les récompenses sont attribuées en fonction du type de faille, de sa gravité, de sa fraicheur, et de la richesse des retours techniques qui l’accompagnent.
  • Le programme de bug bounty peut être proposé de manière publique ou privée à une poignée d’experts triés sur le volet.
  • Il permet de sécuriser le chercheur en sécurité en donnant un cadre officiel à son pentest.

Malheureusement, peu de sociétés se donnent la peine de rechercher des failles dans leurs plateformes. Et celles qui le font confient le plus souvent cette tâche à des prestataires qui effectuent des audits peu fréquents, onéreux et limités dans le temps. D’autres encore connaissent le principe du bug bounty et s’inscrivent sur des plateformes étrangères qui sont cools mais malheureusement toutes américaines.

Je dis malheureusement, car vous savez comme moi que toutes les entreprises américaines sont soumises au Patriot Act. Cela signifie que si une entreprise européenne confie son programme de Bug Bounty à une plateforme américaine, il se peut que les failles et les exploits envoyés par les chercheurs en sécurité du monde entier, intéressent de près des organisations comme la NSA. Cela est donc un exercice périlleux pour la société située en Europe.

Il était donc indispensable de proposer une plateforme de bug bounty qui soit Européenne et qui permette à toutes les sociétés d’améliorer leur sécurité, peu importe les pays où elles se trouvent. Pour résumer, Bounty Factory fait office d’intermédiaire technique, financier et législatif entre les pentesteurs et les sociétés qui souhaitent lancer leurs Bug Bounties. Si le sujet vous intéresse, je vous invite à lire notre FAQ.

Ce que nous allons proposer au sein de Yes We Hack, c’est un cercle vertueux entre les compétences des experts en sécurité qui recherchent du travail / des missions et les besoins en recrutement des entreprises. Une société qui recherche un bon expert en sécu pourra grâce à Yes We Hack, trouver les compétences qu’il lui faut, grâce au système de classement que nous avons mis en place côté bug bounty. En effet, les bug bounties permettront d’ajouter des points opérationnels au pentesteur afin de valoriser son profil sur Yes We Hack.

it-works

Notre but est de permettre à n’importe quelle société, qu’elle soit basée en Europe ou au-delà, d’améliorer fortement son niveau de sécurité. J’ai parfaitement conscience que lancer un bug bounty demande un certain effort, notamment pour tous ceux qui sont habitués à pratiquer de la sécurité par l’obscurité. Mais sachez que les failles remontées restent confidentielles (Pas de full disclosure ici) et qu’il vaut mieux offrir une récompense à quelqu’un qui a réussi à débusquer une faille pour pouvoir ensuite la corriger immédiatement, que de rester dans l’ignorance et constater qu’un jour, elle a été vendue et utilisée à mauvais escient.

L’équipe de Yes We Hack / Bounty Factory se compose de développeurs de talent, d’experts chevronnés en sécurité, et de professionnels du bug bounty. Nous avons tous de nombreuses années d’expérience dans la sécurité et l’entrepreneuriat et nous prenons ce chemin, car nous sommes convaincus que la sécurité participative (crowd security) est promise à un brillant avenir.

crowd_security

Pour le moment, même si vous pouvez vous inscrire sur le site, nous fonctionnons encore en beta privée. Nous avons déjà plusieurs partenaires avec lesquels nous travaillons, notamment le moteur de recherche européen Qwant qui dès demain va annoncer officiellement l’ouverture de son bug bounty chez nous. Ils ont été les premiers à lancer un bug bounty lors de la Nuit du Hack 2014 et ils seront les premiers à utiliser Bounty Factory.

Nous vous réservons évidemment bien d’autres surprises dans les jours et semaines à venir autour de Bounty Factory ! C’est le début d’une nouvelle aventure qui commence pour nous et j’espère que vous nous suivrez dans celle-ci ! Merci d’avance pour votre soutien !

La bonne nouvelle c’est que le projet a suscité l’attention d’investisseurs de type VC et nous nous lancerons prochainement dans notre première levée de fonds.

Pour les journalistes, blogueurs, youtubeurs…etc. qui le souhaitent, nous tenons une conférence de presse demain matin (le 21/01) à 9h15. Contactez presse@yeswehack.com si vous voulez y assister. Je serai aussi avec l’équipe YWH à Seine Innopolis (à Rouen) à 10h du matin le 22 janvier pour expliquer à la French Tech comment la crowd security et le bug bounty vont améliorer leur compétitivité. Tout un programme !

Pour en savoir plus, je vous invite à vous rendre sur YES WE HACK.


Brèche de données de Marriott Starwood : 5 conseils que les voyageurs devraient appliquer maintenant



contenu proposé par ESET sécurité

Voici quelques mesures défensives en cas de compromission de vos données personnelles à travers le cas des clients du Marriott Starwood

Si vous vous intéressez à la cybersécurité, à la protection des données ou à l’hébergement dans des hôtels, vous avez probablement entendu dire que Marriott International a annoncé la semaine dernière une énorme violation de données comprises dans la base de données de réservation Starwood. D’après un article du Washington Post sur la brèche « les informations personnelles de 500 millions d’invités auraient pu être volées ». L’une des raisons pour lesquelles le nombre est si élevé est que la marque Starwood englobe de nombreuses propriétés différentes, dont Sheraton, Westin, Le Méridien, Aloft, The Luxury Collection, et W Hotels. Une autre raison est que, selon les responsables de l’entreprise, une tierce partie non autorisée avait accédé à la base de données depuis 2014.

Le site Web officiel de Starwood fournissant des informations sur cette brèche est…


Lire la suite



Réponses notables

  1. Bravo et longue vie à Bounty Factory ! :smile:

  2. zorg says:

    Mais pourquoi avoir choisi un .io (eaux territoriales anglaises de l’océan indien)
    ?

  3. Iceksy says:

    IO = Input Output
    Ça colle plutôt bien pour une boite de sécurité informatique.

  4. Etant participant des plateformes américaines Hackerone et Bugcrowd je ne peux qu’adhérer a ce projet :D.

    Reste maintenant à savoir si les entreprises française et européenne vont se lancer dans l’aventure plutôt que de se cacher et de prier pour que personne n’exploite des failles sur leurs appli web :smile:

    ;’( il faut patientez encore 3 semaine pour que sa soit ouvert au publique et soumettre les premiers bugs ;’(

  5. raj says:

    et bien chapeau en tout cas le site est joliee…(c’est tout de même chouette font-awesome)

    et bon courage au chasseur de prime, ça dois pas être simple

  6. skepty says:

    Chercher des bugs c’est très bien, mais le problème de la sécurité vient de la concurrence entre les pays d’Europe et le reste du monde (exceptée l’Angleterre). Combien de boîtes Européennes refusent de payer des développeurs à des prix raisonnables et finissent soit par recruter des dev moins qualifiés, des dev d’Inde, Pakistan, Chine, Vietnam, etc. ou encore une boîte française qui sous-traite vers ces pays sans le dire à leurs clients. La majorité des vols de n· de CB, de BDD, etc. se font de cette manière sans aucune intrusion illégale. Lorsque toutes les portes sont ouvertes il ne sert à rien d’auditer les serrures. Je sais qu’il s’agit d’un sujet encore tabou dans le monde du dev mais il faut aussi en parler. Se boucher le nez lorsqu’on entend parler de protectionnisme économique pour ensuite faire de la sécurité un business, je trouve ça difficile à accepter.

  7. Visha says:

    Je tiens à ajouter mon coup de gueule contre ce mode de “travail”. Pourquoi ? Parce que tout simplement tout travail mérite salaire, qu’il y aie résultat ou pas.

    Exemple 1: Je vais au médecin, il me consulte, je paie les médicaments, la consultation, mais le résultat n’est pas forcement garanti.

    Exemple 2: Je vais au garage, il recherche une panne, il ne trouve pas, je paie la recherche de panne et j’ai aucun résultat.

    Etc. etc.

    Lorsqu’une personne cherche dans n’importe quel métier, il est payé pour cela et devrait être le même cas en tant qu’Informaticien/Geek/Hacheur. Donc pourquoi payer comme pour tous les autres sites que lorsque que quelque chose a été trouvé ?

    Que la personne trouve ou pas quelque chose au final importe moins, c’est pas son but premier, surtout qu’il à peut-être passer beaucoup de temps à valider que c’était ok, Est-ce qu’il devrait faire dont de son temps ? Certainement pas.

    The Business of Security :smile:

    Quand tu passes du pire gars du monde, à celui qui doit prouver pour être payé.

  8. Je suis d’accord avec toi, tout travail mérite salaire. Mais comment faire quand tu ouvre le programme de manière publique pour rémunérer tous les chercheurs qui passeront plus ou moins de temps à travailler ?
    Comment tu peux être sur que le mec a passé du temps à travailler sur ce point. Tu te bases sur une relation de confiance ?

    Dans le cas ou les chercheurs sont triés pour une mission cela me semble plus réalisable de payer même si aucune faille n’a été trouvée. En effet on peut imaginer une liste de tâche à valider avec des retours techniques quant aux différentes tentatives de hack réalisées.

  9. Visha says:

    Je pense qu’il est nécessaire en premier temps de récolter des experts, personnes dont l’expérience est prouvée aux travers de certificats ou de tests internes. Simplement dans le sens ou les personnes qui ont déjà un bagage professionnel, n’ont pas forcement toujours envie de prouver leurs compétences une énième fois sur un autre site. Après le contrat est basé sur l’heure en fonction de la capacité de l’expert. Exemple : une personne avec peu d’expérience *1.5, une personne très compétente, *4.

    Sinon il faut également supprimer toutes conditions imposée, comme par exemple “pas de script”/“scanner”, sérieux ? en 2016 ? si le gars doit tout faire à la main, c’est un peu comme dire au gars, ouai mais bon tu peux ouvrir la porte mais seulement avec un bout de pain et du fromage, tes outils de lockpick automatique cela ne prouve pas tes compétences et tu ne seras pas payés…

    Ah voir par la suite, si le hacheur de bois n’est pas pris pour un farmeur chinois d’une hypothétique faille qui lui servira à s’acheter une pizza à la fin du mois cela risque d’être cool.

  10. 1+ pour les experts au départ.
    Le contrat basé sur l’heure règle un autre problème, par exemple dans le cas ou une faille triviale est détecté par 100 chercheurs comment se passe les paiements ?

    • Le premier chercheur qui a detecté la faille est payé ?
    • Tout les chercheurs ayant trouvé la faille avant que celle ci soit marqué comme corrigé/detecté sont payés ?

    Bon ok ça n’arrivera peut être jamais dans ces proportions mais il faut bien poser la question.

    Libre au chercheur d’utiliser ses techniques. De plus c’est de l’intérêt de la société audité que ce dernier soit efficace et trouve des failles. Et en partant de ce principe ça me choquerait pas que les développeurs partagent des connaissances avec les experts sur l’architecture du code etc… afin de faciliter le travail des chercheurs.

    Mais au départ une chose est sur, il est beaucoup plus facile pour un site de payer à la commission lorsqu’un objectif a été atteint que de payer à l’heure… On verra peut être un changement de rémunérations des chercheurs lorsque cette appli aura un vécu.

Continuer la discussion sur Korben Communauté

2 commentaires supplémentaires dans les réponses

Participants

ControlPC – Contrôler Netflix, VLC, Youtube, Windows Media Player à distance depuis votre smartphone

Si vous regardez des films directement depuis votre ordinateur, bien calé au fond de votre canapé ou de votre lit, quoi de plus désagréable que de devoir vous relever pour mettre en pause ou monter le son ? Il existe bien sûr les claviers et souris sans fil mais c’est encombrant et pas toujours très joli quand ça traine dans le salon. Et les plus organisés auront investi dans une télécommande pour PC.

Lire la suite