Bug Bounty : l’ère des chasseurs de primes 2.0

Hacker invétéré ou simple crack en informatique, vous ne savez plus comment profiter de vos compétences extraordinaires sans passer du coté obscure du net ?

Les Bug Bounty sont votre salut !
Véritable chasse aux bugs informatiques, ces programmes récompensent les hackers (aussi appelés Hunters) qui signalent les bug et vulnérabilités des Système Informatiques cibles.

Mais comment ça marche ?

D'un coté il y a  l'Éditeur : entreprise qui édite un programme ou un logiciel. Il a besoin d'optimiser la cybersécurité de son système informatique (un logiciel une application, etc.).
De l'autre, les Hunters qui vont mettre les compétences de hacking au service des éditeurs.
Et enfin, la plate-forme Bug Bounty qui jouera l'intermédiaire et mettra en relation les hackers et l'éditeur en vue de fournir un service de détection de bug. La relation est encadrée par un contrat tripartite.

Hunters de Bug Bounty : hackers éthiques pour la cybersécurité

On le sait, la cybersécurité est au centre de toutes les problématiques liées à l'informatique.
Tout le monde produit et échange des données : aussi bien les particuliers que les entreprises ou les institutions publiques. La valeur accordée à ces datas ne cesse d'augmenter et dépassera peut-être de l'or noir : le pétrole.

Et qui dit valeur, dit risque attractif.
Avec l'expansion du Cloud computing, du SaaS (Software as a Service) les risques liés à la production et au partage de données se sont multipliés et diversifiés.
En forte augmentation les cyber attaques présentent une réelle menace pour l'ensemble des utilisateurs d'Internet, et encore plus pour les entreprises, notamment celles qui possèdent de nombreux utilisateurs et/ou de nombreux services en ligne.

Aujourd'hui encore, le terme hacker est très négativement connoté.

On pense communément que le hacker est un individu qui s'introduit dans un système informatique avec l'intention de nuire. Le tout généralement motivé par un gain financier ou par la simple volonté d'endommager les ressources de la cible.

Dans les années 80-90, il fallait être spécialiste pour devenir un hacker. Avec la généralisation du modèle SaaS et du Cloud Computing, il suffit désormais d'avoir de bonnes connaissances en informatique pour flirter avec les interdits, sans pour autant passer du côté du Dark net.

Pour s'introduire dans le système les hackers ont l'embarras du choix  :

Il est crucial de bien distinguer le White Hat du Grey Hat et du Black Hat :

Des contraintes légales pour les hackers éthiques...

Les Hunters sont donc des White Hats.

Afin de pouvoir participer au Bug Bounty (BB), ils doivent s'inscrire sur une des plateformes BB existantes et s'engager à respecter une charte éthique et des règles bien définies.
En effet, Les plates-formes programmes de Bug Bounty sont les garants des obligations légales du hunter et de l'entreprise cliente.  Elles sont régies par les articles art. 226-16 à 226-24 du Code pénal et, les article 32 à 34 du Règlement Général de la Protection des Données (RGPD), suivent les principes suivants :

  • Respect du secret professionnel ;
  • Respect du droit à la vie privée ;
  • Sécurisation des données.

Une fois conscient de ses obligations fiscales et sociales, le hunter est contractuellement engagé.
La plate-forme donne alors le détail du Bug Bounty : périmètre de recherche (un logiciel, une application mobile, etc), durée de la cession, montant des primes accordées...

La hauteur de la prime est établie en fonction de la difficulté du bug :

  • Critique : 20 000 à 30 000$ ;
  • Haut : 10 000 à 20 000$ ;
  • Moyen : 4 000 à 10 000$ ;
  • Faible : 617 à 2 000$.

La hausse des plafonds des primes accordées est une tendance qui est loin de s'arrêter !  

Des contraintes également pour les éditeurs

Dans le cadre de la communauté européenne, toute entité doit se plier aux nouvelles obligations dictées dans le RGPD.

En application depuis mai 2018, ce règlement tente d'encadrer la gestion des données, tout en poussant les entreprises à redoubler de vigilance et à augmenter leur cyber sécurité.

Les articles 32 à 34 de cette réglementation imposent :

  • Un traitement sécurisé des données personnelles récoltées ;
  • Le signalement systématique des failles dans le Système d’Information (SI) auprès de l'entité détentrice ;
  • La communication des failles de sécurité dans le SI aux sujets.

En Février,  Apex Human Capital Management, une société développant un service de gestion des paies, fut la cible d'une attaque de Ransomware. Informée de la vulnérabilité du système, la direction d'Apex a tenu à informer ses utilisateurs.

En l'espace de 3 jours, le service de gestion fut suspendu pour une centaine d'entreprises. Sous la pression d'une éventuelle divulgation des données piratées, Apex céda au chantage et décida finalement de payer la rançon. En plus d'encourager ce type d'actions, le paiement des rançons ne garantit ni la remise des éléments volés, ni l'état dans lequel ils seront restitués.

Cette affaire loin d'être isolée, montre que les entreprises sous estiment encore trop les risques liés aux cyberattaques et la nécessité d'optimiser en amont leur sécurité informatique.

Vous l'avez compris, les Bug Bounty ont encore de beaux jours devant eux.

C'est le moment de rejoindre le bon côté de la force et de tirer votre épingle du jeu !

Sorel Mbami-Brouillet pour The Nice Guys 

Leave a Comment