ENTREPRISES & STRATÉGIES
TECHNOLOGIES

Sécurité informatique

Pourquoi faire appel à un bug bounty?



fotolia_168234359_c_francis_bonami.jpg

Les chasseurs de bugs ont le droit de détecter une vulnérabilité, mais pas de l’exploiter. (Photo: Fototlia / francis bonami)

Les grandes sociétés ont recours à ces plates-formes pour tester la robustesse de leurs sites internet et applications. Quels sont les avantages et les gages de confiance? Une TPE/PME a-t-elle intérêt à se tourner vers les bug bounties? Réponses et conseils de deux spécialistes.

Le premier qui trouve la faille gagne une récompense: c’est le principe du bug bounty, sorte de course au trésor à la sécurité informatique organisée par des plates-formes spécialisées pour le compte des entreprises. La pratique est assez récente en Europe et elle intervient le plus souvent en complément des audits classiques. En général, la première démarche de sécurité consiste à lancer un scan automatique des technologies pour faire ressortir les failles basiques, puis à effectuer des tests de pénétration. Mais ces audits, qu’ils soient réalisés en interne ou par des experts en cybersécurité mandatés par l’entreprise, restent limités à un ou deux intervenants et contraints dans une durée de mission précise.

Un stress test mené par des hackers… bien intentionnés 

Avec le bug bounty, le test de sécurité change d’échelle puisque l’entreprise soumet ses systèmes à une plate-forme qui regroupe des dizaines, des centaines, voire des milliers de cadors de la cybersécurité. L’entreprise fixe une récompense pour les failles détectées en fonction de leur criticité et rémunère ainsi les chercheurs de bugs au résultat. La principale limite reste le périmètre de l’exploration.

Un bug bounty porte en effet sur la recherche de failles applicatives ou de problèmes de configuration des serveurs accessibles de l’extérieur, et non sur les réseaux internes de l’entreprise. Le gros avantage, c’est qu’avec cette méthode, le code est testé de manière continue par autant de cerveaux créatifs qu’on le désire.

Bug bounty privé ou public?

Le recours au bug bounty impose toutefois quelques prérequis. «Si les sociétés n’ont pas le niveau de compétences en sécurité nécessaire, elles peuvent être déstabilisées par des rapports trop poussés», reconnaît Yassir Kazar, CEO et fondateur de la plate-forme Yogosha, spécialisée dans le bug bounty «privé».

«On démarre avec un nombre restreint de chercheurs, privilégiant la qualité des rapports de sécurité à la quantité, afin d’éviter d’être anxiogène et de noyer le client», explique le dirigeant. Ce modèle fermé permet de se familiariser avec la démarche, les entreprises pouvant ensuite choisir de basculer progressivement vers le «vrai» bug bounty, tel qu’il se pratique aux États-Unis et depuis peu en Europe.

Un petit jeu vraiment sans risque?

Ainsi, Blablacar, OVH, Qwant ou encore Orange ont fait confiance au numéro un européen du bug bounty public, YesWeHack. «La différence entre des bug bounties privé et public, c’est quatre fois plus de vulnérabilités trouvées», précise Korben (de son vrai nom Manuel Dorne), cofondateur de YesWeHack. La plate-forme rassemble 5.000 «hunters», des chasseurs de bugs éthiques. Des passionnés qui avancent sans masque (on parle de «white hat») puisqu’ils doivent livrer leur identité (condition sine qua non pour toucher une récompense) et s’engager à respecter un code de bonne conduite.

Dites-vous bien qu’un cybercriminel n’aurait aucun intérêt à participer à un bug bounty.

Korben (de son vrai nom Manuel Dorne), cofondateur de YesWeHack

Les chasseurs de bugs ont le droit de détecter une vulnérabilité, mais pas de l’exploiter. Et pour rassurer les plus inquiets, Korben déploie un argument massue: «Dites-vous bien qu’un cybercriminel n’aurait aucun intérêt à participer à un bug bounty. Il gagnera toujours plus qu’un hacker éthique en revendant les failles sur le marché noir et n’attend pas d’avoir une autorisation pour attaquer un site! Le bug bounty intéresse uniquement les gens qui souhaitent rester du bon côté de la loi.»

Les plates-formes jouent le rôle de tiers de confiance entre les entreprises clientes et les hackers éthiques. Elles font payer l’accès au programme via un abonnement (dont les tarifs sont confidentiels), puis se chargent de verser les récompenses aux chasseurs de bugs. La moyenne de ces «primes» s’élève à 350€ sur YesWeHack (et jusqu’à 15.000 euros pour la découverte de failles jugées extrêmement critiques).