Blog

Bug bounty – Des primes au bogue pour améliorer la sécurité ?

May 17th, 2022  by Bruno van Marsenille

Qui mieux qu’un pirate informatique est à même de vérifier la sécurité d’une application mise au point par un développeur ? Avec à la clé un ‘bug bounty’ ou prime aux bogues. Selon le principe : « C’est avec les braconniers que l’on fait les meilleurs gardes-chasse. »

All articles

Le principe du bug bounty est trivial. Aujourd’hui encore, le développement de logiciels reste un processus complexe et fragile, souvent réalisé par des humains. Et comme « l’erreur est humaine », un logiciel est donc susceptible de comporter des fautes. D’autant qu’un tel logiciel est en général conçu par plusieurs développeurs qui ne sont pas forcément toujours sur la même longueur d’onde. De plus, un logiciel est classiquement soumis à des mises à niveau et autres améliorations qui le complexifient, ce qui multiplie le risque de problème. Sans oublier que dans l’urgence (le métier attend normalement son application avec impatience), le logiciel n’est pas toujours soumis à des tests et vérifications poussées, tant au niveau de la cohérence du code que de la (cyber-)sécurité notamment.

Et avec les projets numériques qui se multiplient au sein des entreprises, la pression sur l’informatique pour accélérer le déploiement d’applications se fait toujours plus forte, d’où le risque de court-circuiter le processus de vérification du code et de sécurisation des programmes.

Récompense

Vous l’aurez compris : un logiciel n’est jamais parfait, n’en déplaise aux développeurs d’applications. Et si les outils de sécurité se cessent de se développer, aucun logiciel n’est à l’abri d’une faille. D’où l’idée émise par certaines organisations de renforcer leur cybersécurité en mettant en place des solutions de bug bounty visant à embaucher des pirates éthiques pour découvrir et signaler une vulnérabilité dans une application. Bref, de proposer à des chasseurs de prime ‘de confiance’ de mettre leurs compétences diverses et variées au service de la sécurité des applications.

En pratique, un programme de prime aux bogues commence par la définition du périmètre à sécuriser et du budget alloué. Cela permet à l’entreprise d’exclure certains domaines, notamment pour éviter de perturber le fonctionnement de l’organisation. Par ailleurs, le montant de la récompense sera en général proportionnel à l’impact potentiel de la faille découverte. Même s’il faudra éviter bien sûr que le pirate éthique se contente des ‘low hanging fruits’, entendez les résultats faciles et donc les plus rémunérateurs. Cela dit, la motivation des hackers n’est souvent pas le seul appât du gain.

Une fois que le pirate aura découvert une faille, il conviendra de lui demander un rapport précis du problème ainsi que de son impact et son degré de gravité. Ensuite, le pirate précisera la manière de reproduire le bug, ce qui permettra aux développeurs de le documenter et de le confirmer. Après quoi la prime sera versée…

En pratique

Globalement, deux approches peuvent être envisagées pour la mise en place d’une solution de bug bounty. D’une part, héberger en interne une telle solution. Mais au préalable, il faudra prévoir une plateforme de communication, un système de suivi des bugs et une passerelle de paiement. L’autre méthode consiste à s’adresser à l’un des nombreuses plateformes existantes. Citons par exemple YesWeHack, Open Bug Bounty, HackerOne, BugCrowd, SafeHats, Intigriti ou Synack.

Ajoutons que pour aider les entreprises à mettre en place une approche de bug bounty, le Centre pour la CyberSecurity Belgium propose sur son site (4) une ‘coordinated vulnerability disclosure policy’ CVPD. Il s’agit d’un ensemble de règles définies à l’avance par une organisation responsable des systèmes IT pour permettre à des pirates éthiques d’identifier les vulnérabilités potentielles dans ses systèmes ou de fournir toute information pertinente à propos de ces failles. Un tel programme de prime aux bogues couvre l’ensemble des règles établies par l’organisation responsable pour donner des récompenses aux participants qui identifient des vulnérabilités dans les technologies qu’elle utilise. Il s’agit d’une sorte de politique coordonnée de divulgation des vulnérabilités qui prévoit des primes en fonction du volume, de l’importance et de la qualité des informations fournies.

D’ores et déjà, de nombreuses grandes entreprises ont mis en place des approches de primes aux bogues. Et notamment la plateforme d’e-commerce Shopify qui a fait de la sécurité une priorité absolue. Ou encore le site d’appli mobile Yelp qui publie des avis participatifs sur les commerces locaux.

Aprico ambitionne d’aider les entreprises à innover et à repenser leurs processus métier en mettant la sécurité au centre de leur réflexion stratégique. Nous pouvons partager les bonnes pratiques, technologies et modèles organisationnels qui permettront à l’organisation de s’ouvrir sur l’extérieur et de partager l’information en toute sécurité.

You may also like

All articles
All articles
Careers opportunities

We’re always looking for talented people.
Are you one of those?