| Solutions/Technologies

Depuis plusieurs années maintenant le domaine de la sécurité informatique assiste à un engouement de plus en plus croissant pour les programmes de Bug Bounty. A travers cet article OPMD souhaite partager sa vision sur ces programmes de recherche de vulnérabilités.

Définition du Bug bounty

Un Bug Bounty est un programme de recherche de vulnérabilités récompensant les chercheurs en fonction des failles de sécurité identifiées.

 

La société émettrice du programme de Bug Bounty met en général à disposition d’un ensemble de chercheurs (groupe ouvert ou fermé) un périmètre dédié au Bug Bounty afin d’éviter toute interférence avec les systèmes de production.

Les chercheurs utilisent alors ce périmètre dédié au programme de Bug Bounty pour y identifier les potentielles failles de sécurité. Lorsque le chercheur pense avoir trouvé une vulnérabilité, il va alors soumettre à la société responsable du programme un rapport de vulnérabilité détaillé.

La criticité de la vulnérabilité va alors être évaluée par la société et une récompense sera offerte au chercheur. La récompense obtenue dépendra de la vulnérabilité identifiée.

 

 

Il existe deux types de Bug Bounty:

Le programme public, qui sera accessible par tout le monde. Les détails du Bug Bounty sont le plus souvent présent sur le site officiel de la société organisatrice, ou sur des plateformes dédiées comme BountyFactory ou Bugcrowd.

Le programme privé, qui sera accessible uniquement par quelques chercheurs. Ils peuvent être choisis selon leur réputation dans l’industrie ou s’ils ont déjà participés à un programme public par exemple.

Pourquoi mettre en place un programme de Bug Bounty ?

Lancer son propre Bug Bounty permet aux entreprises d’avoir un complément aux tests d’intrusion classiques car un nombre plus important d’experts vont pouvoir tester la sécurité du périmètre.

Aussi en publiant les résultats des différents programmes de Bug Bounty, les entreprises vont pouvoir prouver que la sécurité de leurs systèmes est prise au sérieux. Par exemple, dans le cas d’une entreprise proposant un service hébergeant des données sensibles (comme des informations de paiement), les clients de cette entreprise vont avoir l’assurance que leurs données sont stockées de manière sécurisée.

 

Microsoft par exemple publie sur son site officiel toutes les récompenses attribuées aux chercheurs:

https://technet.microsoft.com/en-us/library/dn469163.aspx

Quelles sont les entreprises qui font appel aux programmes de Bug Bounty ?

Toute entreprise disposant de systèmes exposés sur internet tels que site web, application mobile, ou tout autre service, peut potentiellement bénéficier des programmes de Bug Bounty.

Cependant le phénomène étant assez récent en France, on trouve aujourd’hui un nombre limité d’entreprises ayant recours au Bug Bounty. On y retrouve tout de même de grands professionnels de l’IT comme OVH ou Outscale qui proposent des programmes publics.

Outre atlantique en revanche cette pratique est plus répandue. La plateforme HackerOne regroupe des programmes aussi bien pour des sociétés comme Facebook, Microsoft, Uber ou bien Tesla, mais aussi pour des sociétés plus modestes comme Munzee, Mapbox ou encore Mail.ru.

Les acteurs du marché du Bug Bounty

En France on trouve les plateformes Bounty Factory (https://bountyfactory.io/), Yogosha (https://www.yogosha.com/), et Bug Bounty Zone (https://www.bugbountyzone.com/).

Elles se placent en tant qu’intermédiaire entre les entreprises et les chercheurs. Ce qui va permettre d’aider les entreprises à mettre en place leur programme de Bug Bounty et d’assurer aux chercheurs d’obtenir une récompense en adéquation avec les vulnérabilités identifiées. On retrouve également des plateformes similaires aux USA comme Bugcrowd (https://bugcrowd.com/) et HackerOne (https://www.hackerone.com/).

D’autres acteurs français de la sécurité, comme les sociétés de conseil et notamment Openminded, travaillent à incorporer les bug bounties dans leurs catalogues de prestations de services. Les entreprises clientes de ces services de Bug Bounty, pourront organiser un programme privé en invitant uniquement les consultants de leur prestataire, et ainsi disposer d’une équipe de professionnels de la sécurité dédiée à ce programme privé. Ce système peut être intéressant économiquement, en complément de tests d’intrusion classiques, étant donné que l’entreprise cliente rémunérera la société de conseil uniquement si des vulnérabilités sont découvertes.

L’évolution du métier de Bounty Hunter

Avec la demande de plus en plus forte de la part des entreprises en matière de sécurité, le métier de Bounty Hunter devrait se développer dans les années à venir.  Il représente un avantage non négligeable pour les entreprises aussi bien d’un point de vue financier que pour l’image de l’entreprise en complément de tests d’intrusions ou d’audits de sécurité plus classiques.

En effet lors d’un test d’intrusion, les auditeurs vont identifier toutes les vulnérabilités présentes dans le système peu importe l’impact, qu’il soit critique, majeur, moyen, ou mineur. Or dans un bug bounty les entreprises vont uniquement rémunérer les vulnérabilités les plus critiques comme les injections SQL ou le Cross-Site Scripting (XSS). Par exemple là où un test d’intrusion offrira une vue complète des vulnérabilités impactant le chiffrement des connexions (protocoles obsolètes, taille de clef RSA insuffisante ou suites cryptographique faibles), la plupart du temps ces types de vulnérabilités ne sont pas inclus dans le périmètre d’un programme de bug bounty.  

Lancer une campagne de tests d’intrusion avant un programme de Bug Bounty va alors permettre à l’entreprise de réduire les coûts du programme de Bug Bounty. Les auditeurs auront déjà identifié un grand nombre de vulnérabilités lors du test d’intrusion initial.

Pour plus d’informations sur les programmes de Bug Bounty retrouvez l’interview de Loïc Dubarry, consultant sécurité chez Openminded dans Global Security Mag n°39:

https://www.opmd.fr/wp-content/uploads/2017/07/Article-GSmag-Bug-Bounty-2017.pdf

Loïc Dubarry