Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Entreprises, comment éviter les remontées sauvages de failles de sécurité ?

Bon, vous le savez, depuis 2013 on organise des Bugs Bounties avec les copains de YesWeHack. Et en 2015, on a décidé de créer BountyFactory.io, une plateforme qui permet facilement à chaque société qui le souhaite, de créer son programme de bug bounty. L’idée c’est de faire tester un site, une application, un projet open source, des webservices, des objets connectés et autres, à notre communauté de Hunters (experts en sécurité) pour voir si des bugs de sécurité s’y trouvent. C’est un bon moyen d’améliorer la sécurité informatique de sa boite, dans un cadre de développement agile, en ne payant qu’au bug effectif remonté.

Et aujourd’hui, j’aimerais vous parler du concept de bug bounty sauvage, ou plus généralement de remontées sauvages de failles, car plusieurs de nos clients, avant de faire appel à nous, y ont été confrontés.

Le bug bounty classique, c’est-à-dire légal, officiel, approuvé par la société qui l’initie, c’est la mise en place d’un périmètre de test, soumis à des experts en sécurité en mode privé ou public, avec à la clé, un versement d’une récompense aux experts ayant trouvé et remonté une vulnérabilité. Ça, c’est cool.

En opposition, la remontée sauvage de failles de sécurité n’est pas encadrée et se fait sans l’approbation initiale de l’entreprise concernée. Il n’y a pas de règles donc cela peut revêtir les habits d’une « Coordinated Disclosure » parfaitement propre comme on le fait avec Zerodisclo.com. C’est le cas de figure idéal quand aucun programme de bug bounty n’est en place.

Mais le plus souvent, ça se fait de manière un peu plus violente. Soit les informations concernant la faille sont publiquement affichées sur un site, un forum…etc. et donc peuvent être utilisées par d’autres. Soit la personne qui a trouvé la faille l’annonce (par mail ou publiquement sur un site dédié à ça) et réclame à l’entreprise une récompense (ou un job) en échange de ces infos. On rentre alors dans un cadre qui s’apparente plus à du chantage.

Et malheureusement, une entreprise qui est confrontée à cela est souvent démunie et son seul réflexe est de porter plainte. (ce qui est une mauvaise idée la plupart du temps)

Voici donc quelques clés pour garder au maximum la maitrise de ses vulnérabilités.

La première étape parait évidente, mais plutôt que d’attendre qu’un inconnu lance un bug bounty vous concernant sur une plateforme tierce dont vous ne savez rien, il faut prendre les devants et créer votre propre programme de Bug Bounty.

Cela va vous permettre plusieurs choses :

  • Obtenir rapidement un niveau de sécurité supérieur à l’actuel et donc éviter la remontée de failles trop évidentes.
  • Avoir une connaissance immédiate des failles trouvées, sans chantage et sans négociation.
  • Être le seul à avoir connaissance du détail des failles remontées.
  • Garder la maitrise totale du budget, du périmètre de test et du nombre de hunters qui vont se pencher sur ce périmètre.
  • Pouvoir échanger sans risque avec le découvreur de la faille pour lui demander des informations complémentaires ou de l’aide pour la correction du problème.
  • De plus, proposer une récompense évitera, la plupart du temps, qu’une faille se retrouve décrite publiquement dans la nature.

Ça, c’est donc le 1er truc à faire. Choisissez aussi la bonne plate-forme de bug bounty au regard du contexte éco/géo/politico/légal, car vous vous en doutez les lois US diffèrent des lois européennes en matière de divulgation des vulnérabilités. Notez quand même que l’Europe a pris au sérieux le dossier de la protection des données personnelles via la RGPD, mais revenons à nos bugs.

Ensuite, quelque chose d’hyper important si vous fonctionnez avec un bug bounty privé, c’est de rester discret. En effet, je vois trop souvent des entreprises expliquer partout qu’elles ont un bug bounty privé, voire d’autres plateformes de Bug Bounty se vanter dans les médias d’avoir tel ou tel client (en bug bounty privé évidemment).

La nature même de « privé » c’est que tout le monde n’est pas invité à la fête. Donc si vous criez sur tous les toits que vous avez un programme de bug bounty et que celui-ci n’est pas public, les gens vont faire n’importe quoi avec votre site.

D’abord, ils n’auront pas connaissance du périmètre, donc ils vont tester tout ce qui va leur passer sous la main, sans chercher à savoir si de vôtre côté vous approuvez ou non. Vous essuierez aussi peut-être quelques attaques DDoS, des tentatives des phishings… etc. Bref, pleins de trucs moches. Ensuite ceux qui vont trouver une faille, tenterons de vous contacter par tous les moyens. Et comme ils n’auront aucune connaissance du montant de vos récompenses, ils commenceront à négocier à l’aveuglette, voire à basculer en mode chantage. Et cela leur paraitra normal de défoncer votre site et de vous demander un gros chèque, puisqu’après tout, vous avez expliqué partout publiquement que vous proposiez de « l’argent contre des failles de sécurité« .

J’ai déjà vu ce genre de problèmes chez une société qui n’avait pas pris conscience de cela et qui a été un peu trop bavarde sur son bug bounty privé. Pensez donc bien à garder secrète l’existence de tous programmes de bug bounty privés que vous lanceriez. Et si veillez bien aussi à ce que vos partenaires techniques sur le bug bounty n’utilisent pas le nom de votre société pour faire du name dropping promotionnel.

Le but évidemment, c’est qu’ensuite vous puissiez sortir de cette phase « privée » pour passer en bug bounty public. À ce moment-là, tout le monde sera invité à la fête et pourra se référer au périmètre et aux montants des récompenses que vous proposerez. Ce sera enfin l’occasion de communiquer publiquement et sans risque de débordement sur votre programme de bug bounty pour mettre en avant l’importance que vous accordez aux données de vos clients et à la sécurité de votre site.

Maintenant que faire si malgré toutes ces précautions, quelqu’un décide de vous remonter une vulnérabilité de manière un peu plus sauvage ? Et bien il n’y a pas 36 000 solutions, il suffit de rediriger gentiment le hunter vers votre programme de bug bounty officiel, en lui expliquant qu’en passant par là, il pourra toucher une récompense si sa faille est valide. Vous pourrez ensuite patcher au plus vite la ou les failles concernées.

Pour compléter la lecture de cet article, je vous renvoie vers ce PDF qui revient sur la plupart des mythes liés aux bugs bounty ouverts qui pourraient freiner les sociétés les moins informées sur cette pratique de la crowdsecurity.

Bonne lecture.


Réponses notables

  1. C’est un bon moyen d’améliorer la sécurité informatique de sa boite, dans un cadre de développement agile, en ne payant qu’au bug effectif remonté.

    De la sécu. au prix des pâquerettes ?

    C’est comme au Loto quoi …
    100% des gagnants ont tenté leur chances !

    Bon je critique, mais je ne sais pas de quoi je parle hein ^^

  2. Je suis triste de voir le blog de Korben se transformer petit à petit en publicité géante pour le Bug Bounty.
    Ok c’est bien, mais bon, je ne compte plus le nombre d’articles en vantant les mérites chaque mois. Au bout d’un moment c’est lourd.
    Et je pense que ce genre d’articles est hors de l’esprit du blog dans ses débuts et devrait être publiées dans un blog/site spécialisé.

  3. Salut Korben (et merci pour la réponse)
    Ca fait toujours plaisir quelque part de se savoir lu (je parle pour moi et pour les autres) par le chef …

    je connais pas le prix des pâquerettes mais on n’est pas ici dans un cadre d’Uberisation ou je ne sais quoi qui propose de la presta à ceux qui sont les moins chers.

    Non, non, ceux qui trouvent des failles (réelles je veux dire et pas seulement dans leur imagination) toucheront une récompense déterminé en amont. Et les récompenses augmentent de plus en plus. L’un de nos clients propose des récompenses entre 5000 et 10 000 euros pour les failles les plus critiques qui lui sont remontés. On n’est pas dans un système où les prix sont tirés vers le bas, bien au contraire.

    Ce que je voulais dire c’est que la phrase sonne quand même un peu comme de l’Ubérisation si l’on compare une entreprise qui paierai un mec en interne ou en externe (consultant) pour auditer un système en continue voir ponctuellement.

    Ce que je veux dire par là, c’est que la phase de recherche elle (avec ce système) est payé tout simplement peanuts …

    Seul seront payé (si j’ai bien compris) ceux qui auront eu la chance (ou pas <= je parle ici de compétence) d’avoir trouver les-dites failles !

    J’imagine juste quelqu’un passer 3 jours et ne rien trouvé, soit parce qu’il n’y a pas de failles, soit parce qu’il est bon mais qu’il ne l’a quand même pas trouver, soit par manque de chance ou soit même parce qu’il n’a pas été assez bon ce jour là pour la trouver …

    Toutes cette somme d’heures là (de recherche) qui représentent pourtant un travail réel ne semble pas payé. Et imagine si on le multiplie par le nombre de personnes qui se retrouverons forcément au quotidiens dans 1 de ces cas là !

    Moi cela me semble donc de l’Ubérisation !
    Car on est plus sur un modèle de Hunting ou de Chasseur de Prime …

    Avec (il faut le dire) l’avantage, de surement stimuler les Hunter à vraiment trouver quelque chose (s’il y’a) pour toucher la prime ! (car sinon c’est patate ce soir)

    On est donc plus dans un modèle Capitaliste/Uberiste que Social me semble t’il !

    Après je n’ai peut-être rien compris …
    Je donne juste mon opinion ! (but des comments)

    Voila

  4. Korben says:

    Si on considère que le bug bounty est un “travail”, effectivement, je te rejoins.
    Mais le bug bounty c’est plutôt réservé aux gens qui justement tombent sur des failles (par hasard le plus souvent ou en grattant un peu) et qui peuvent alors toucher une récompense.

    Il ne faut pas voir ça comme un travail ou une mission.

    Ca ne vient pas remplacer un audit de sécu ou un pentest. Ca vient en complément de tout ça et ça permet d’ouvrir un canal de remonté de vuln qui soit intéressant pour tout le monde.

  5. Korben says:

    Hello

    Je respecte ton point de vue mais je ne suis pas d’accord. Au contraire, je pense que ça a toute sa place ici parmi l’ensemble des sujets que je traite depuis 2004. Puis ça reste un blog ;-))

Continuer la discussion sur Korben Communauté

6 commentaires supplémentaires dans les réponses

Participants

pCloud est un service développé en Suisse depuis 2013 qui compte à ce jour plus de 8 millions d’utilisateurs et qui conviendra à tous ceux qui ont des besoins sérieux en stockage en ligne et qui cherchent une solution compatible avec tous les OS (desktop et mobile).

Comme tous les services de ce genre, pCloud offre une version web et un compagnon Drive à installer sur votre Linux, Mac ou Windows qui vous permettra de synchroniser et d’accéder à l’ensemble de vos fichiers directement depuis votre ordinateur (via l’explorateur de fichiers ou le Finder). Ainsi, grâce au Drive, vos fichiers sont synchronisés en permanence et vous pouvez y accéder même lorsque vous êtes hors ligne.

Et aujourd’hui je vous propose de gagner un des 3 comptes pCloud mis en jeu de 500 Go à vie 😉

Entrez maintenant pour gagner 1 des 3 comptes “500 Go à vie” d’une valeur de 480€ chaque