La pratique du bug bounty – une communauté de hackers et d’experts en sécurité trouvent et rapportent les vulnérabilités sur les applications et services – est un audit de sécurité très efficace et d’une grande richesse… pour les organisations qui savent dépasser les clivages et les non-dits. Le FIC 2018 nous a permis de rencontrer YesWeHack, la communauté européenne de crowdsecurity.
Le bug bounty n’a pas toujours bonne presse ! Imaginez, vous invitez une communauté de hackers à s’attaquer, pardon à auditer votre application ou votre service, dans le but d’en découvrir les vulnérabilités. D’où viennent ces hackers ; qui se trouve derrière eux, ami ou ennemi ; que vont-ils faire des failles découvertes ; où vont aller mes données ? Le bug bounty véhicule de nombreuses questions…
Imaginez maintenant une communauté de hackers et d’experts en sécurité réunis sur une vraie plateforme créée en 2013 sur la base d’un job board qui est également à l’origine de la Nuit du Hack. 3.700 experts en sécurité (dont 70% d’européens) accessibles sur la plateforme bountyfactory.io. Celle-ci respecte la souveraineté et l’éthique européenne, elle est implantée hors du sol américain – avec une présence à Paris, Rennes, Rouen, en PACA et en Auvergne -, sans tracker, sans stats, avec une plateforme de paiement contrôlée et sécurisée…, et elle est horodatée dans une blockchain ! Telle est l’offre de YesWeHack.
Un audit par la communauté des experts en sécurité
Le principe du bug bounty pour l’entreprise est d’inviter la communauté des chercheurs en sécurité à auditer un site, une plateforme, une application ou un service, dans une approche au plus près des conditions opérationnelles, pour en découvrir les failles et les rapporter afin que l’entreprise puisse les corriger. La démarche est forte, elle assure une agilité dans les audits, une diversité des tests, avec des retours quasi immédiats sur les vulnérabilités. C’est ainsi que plus de 2.000 vulnérabilités ont été découvertes en 2017, avec 40% affichant un score élevé, c’est à dire qu’elles étaient des failles critiques.
Quant au modèle économique, il se révèle des plus abordables, puisque l’entreprise définit elle-même la rémunération de celles et ceux qui vont découvrir ses failles, et la période de l’audit. La ‘récompense’ moyenne est de 328 euros. Certaines comme des startups qui n’ont pas encore levé de fonds proposent des cadeaux, d’autres vont jusqu’à verser 200.000 dollars, la plus forte récompense versée en une fois par… Microsoft. Notons que les ONG et le monde de l’open source peuvent bénéficier de ce service gracieusement.
Comment fonctionne un bug bounty ?
Tout d’abord, tous les secteurs d’activités sont concernés. Des organisations appartenant au secteur des technologies, des télécoms, de la finance, des médias, de l’e-commerce, etc., pratiquent ces audits. L’entreprise s’inscrit sur la plateforme, définit le périmètre à tester, le budget et le montant des primes. Le bug bounty peut être public, il s’adresse à toute la communauté, ou privé en sélectionnant les experts. Ces derniers sont notés sur leurs résultats et disposent de points pour les classer. Le bug bounty privé permet de faire appel en toute confidentialité aux 10 ou aux 100 meilleurs experts. Il peut également être ‘on site’, une sélection d’experts se déplaçant dans l’entreprise ou sur des évènements publics ou privés.
Une fois que l’entreprise a pris connaissance de ses vulnérabilités, elle verse les récompenses. Bien sûr, cela ne s’arrête pas là pour elle, il lui est conseillé de corriger rapidement les failles, d’abord pour se protéger, également pour éviter les frustrations chez les experts qui pourraient faire des doublons en trouvant des failles connues qui ne seront plus rémunérées. Le bug bounty participe à l'image de l'entreprise, attention à ne pas la dégrader bêtement par une absence de réactivité...
Les bénéfices du bug bounty
Si des entreprises prestigieuses, comme des banques, des opérateurs télécoms, OVH, Google ou Microsoft font appel au bug bounty, c’est que l’opération se révèle très efficace. D’abord elle permet à moindre coût de réaliser des tests grandeur nature sur la fiabilité des systèmes et d’en découvrir les failles. La démarche est également de sensibilisation des équipes internes et des développeurs sur la qualité du code. C’est aussi une opération de promotion de la sécurité, de la diversité des approches adoptées par l’entreprise, de la volonté de cette dernière de se protéger. L’image renvoyée en interne, chez ses clients et dans son écosystème est très forte.
Le ROI de l’opération est également élevé : le coût est maitrisé, le paiement au résultat, pour les PME ou les startups c’est un moyen de mettre en œuvre la sécurité. A la condition bien évidemment de ne pas avoir peur de s’exposer. Aux organisations qui craignent cela, rappelons qu’elles sont déjà exposées, et que la connaissance de ses failles est un avantage qui peut faire la différence sur la sécurité du business. Et puis, la démarche permet aux développeurs et à l’entreprise de monter en compétence, de prendre conscience des réflexes et des bonnes pratiques, de produire de meilleurs logiciels et de réduire les retours.
Manuel Dorne, l’un des co-fondateurs de YesWeHack que nous avons rencontré sur le FIC, conclut en commentant : « Il n’y a pas plus de problèmes de vulnérabilités qu’avant, c’est juste que la surface d’exposition a augmenté. Les entreprises doivent prendre conscience que la sécurité est un processus, qu’il faut accepter la part de risque et d’être faillible. Mais il ne faut pas fermer les yeux devant les failles, il faut au contraire jouer la transparence, établir les canaux de communication, rester ouvert aux retours et assurer ». Le bug bounty, démarche de crowdsecurity, a sa place dans l’arsenal sécuritaire des organisations, et en particulier pour renforcer le développement qui souffre trop souvent de faiblesses sur les applications qui équipent les produits et services de l’entreprise.
Ci-dessous une intéressantes et détaillée infographie produite par YesWeHack sur la pratique du bug bounty.
Image d’entête 845800134 @ iStock Ilyakalinin