Pour détecter les failles d’un site, d’un système, le « Bug Bounty », programme de « chasseurs » de bugs et de vulnérabilité, rémunérés sur leurs découvertes, représente une alternative aux tests d’intrusion (PenTest) traditionnels. Cette “chasse” a créé beaucoup de vocations, par goût de la découverte et du gain : Apple a payé 200 000$ à un hacker éthique.
L ’armée américaine fait appel chaque année au Bug Bounty. Lors de la deuxième édition de « Hack the Army » en fin d’année 2019, les hackers avaient remporté plus de 275 000 dollars de récompense pour avoir découvert plus de 145 vulnérabilités de sécurité.
Leader européen du secteur, la plateforme YesWeHack Tech met en relation sa communauté de plus de 20 000 hackers éthiques avec des entreprises et institutions à travers des programmes de Bug Bounty.
Avec plus de 400 programmes actuellement en cours sur sa plateforme (privés et publics), YesWeHack enregistre fin 2020 une croissance record. En moins d’un an, le nombre de programmes lancés en France a doublé ce qui, d’après ses porte-paroles « souligne l’adoption croissante d’une sécurité crowdsourcée par les RSSI ».
Témoignage
Nous avons rencontré sur les Assises de Monaco, en octobre, le RSSI d’une grande entreprise du secteur de l’Assurance, qui a accepté de nous expliquer le succès de son expérience de collaboration avec la plateforme Yes We Hack, tout en conservant l’anonymat.
INTERVIEW
Solutions-Numeriques : Décrivez nous l’utilisation du Bug Bounty dans votre société
« Nous sommes utilisateurs depuis 18 mois de ce service . Nous en faisons un axe important de la transformation de l’entreprise. Cela nous permet de faire véritablement du DevSecOp ! Avec le développement super-agile et des applications développées tous les jours, on a besoin de tester en continu. On peut avoir recours au test d’intrusion quand une application est terminée, alors que nous ferons intervenir le Bug Bounty en cours de développement.
D’ailleurs nos développeurs ont commencé à s’y intéresser. Avant, ils vivaient les tests comme une sanction, maintenant ils y voient un accompagnement. Nous expliquons la « chasse » aux développeurs : les outils des hackers, les scanners de découverte, d’exploration.
Nous intégrons cette activité dans la sécurité au quotidien, contrairement aux tests d’intrusion qui sont une campagne effectuée par exemple 2 fois par an.
Le Bug Bounty n’est donc pas en concurrence avec le programme de Pen Test, c’est un nouveau paradigme.
Nous intégrons cette activité dans la sécurité au quotidien, contrairement aux tests d’intrusion qui sont une campagne effectuée par exemple 2 fois par an.
SN-Comment est ce que ça se passe concrètement ? Comment rémunérez-vous les « chasseurs » ?
« Nous constituons une équipe de « chasseurs » : nous les sélectionnons, et les « élevons ». Nous avons constitué une « écurie » de 120 à 130 « chasseurs éthiques ». Il faut conserver une relation dans la durée. Certains profils vont plutôt être affectés à certains programmes.
Nous payons au talent, et à l’importance de la découverte. Négocier une vulnérabilité n’est jamais facile. Les rémunérations sont fonction de la CVS, les failles découvertes sont classées de 1 à 10, 10 étant la note maximale.
Les rémunérations peuvent aller de 50 à 5000€. Ce dernier montant c’est pour une faille entraînant la prise de contrôle du serveur, ou un accès à l’ensemble des fichiers.
Mais il est important de comprendre que nous attendons d’eux qu’ils nous préviennent des failles, mais ils ne sont pas là pour la remédiation.
SN : Quel est le profil des “chasseurs” ?
Très divers bien entendu. Il s’agit souvent d’un deuxième métier pour des développeurs. Ce sont des professionnels qui font cela comme une deuxième activité, la nuit. Il permet à des gens de se révéler. C’est un des métiers de demain !
SN : Ce n’est pas dangereux de dépendre de hackers indépendants ? Ils ne pourraient pas profiter des failles découvertes ?
Peut-on leur faire confiance ? Oui. Les « chasseurs » sont co-optés. La loyauté, l’honnêteté sont les vertus cardinales. Nous privilégions les profils français, les critères sont une bonne réputation, le ranking sur Yes We Hack est primordial.
Yes We hack : une « communauté de chercheurs en cybersécurité »
Fondée en 2013 la plateforme de Bug Bounty a constitué une communauté, présente dans 120 pays et riche de 20 000 hackers éthiques. 400 à 500 nouveaux s’inscrivent chaque mois. La prime la plus haute versée en 2020 a été de 10 000€.
Garant de la sécurité de ses chercheurs et de ses clients, YesWeHack recrute ses « chasseurs de faille », contrôle leur identité via une plateforme tierce de paiement, MangoPay, puis les met en relation avec les entreprises ayant souscrit à un programme de Bug Bounty. Pour étendre sa détection de talents, la plateforme a lancé en octobre dernier DOJO, une plateforme d’entraînement ouverte à tous. Notons qu’en 2020, la prime la plus haute versée à l’un des chercheurs de YesWeHack a été de 10 000 €
La plateforme propose 2 types de programmes de collaboration aux entreprises : le programme « public », qui permet au client de faire appel à tous les hackers de la plateforme. ADP a rendu public son recours à ce programme. Le programme « privé » va reposer sur la constitution d’une équipe, à partir de la plateforme. C’est un “programme privé” qui a été mis en place par l’assureur que nous avons rencontré.
Des clients prestigieux comme ADP
YesWeHack propose deux types de programmes de Bug Bounty aux organisations. On distingue les programmes dits « privés », où le client choisit les chercheurs qui travailleront sur son programme, et ne faisant pas l’objet d’une communication externe et les programmes dits « publics » qui permet au client de faire appel à l’ensemble de la communauté de chercheurs de la plateforme. ADP par exemple a rendu public son recours à ce programme.