1. Le terme « Bug Bounty »
fait le buzz depuis
quelques années dans
l’écosystème de la SSI et
les conférences dédiées.
Mais que se cache-t-il
réellement derrière cette
t e r m i n o l o g i e a u x
couleurs du Far West ?
Loïc Dubarry, Security
Consultant & Pentester
c h e z O p e n m i n d e d ,
définit le Bug Bounty
comme un programme
d e r e c h e r c h e d e
vulnérabilités récom-
pensant les chercheurs
en fonction des failles de
sécurité identifiées. En
effet, bien que « la
traduction littérale de ce
terme soit « prime à l’erreur », appliqué au monde de la sécurité
numérique, le Bug Bounty est plus globalement un programme où les
chasseurs de prime, c’est-à-dire les chercheurs en sécurité, sont
récompensés en fonction des vulnérabilités trouvées », explique
Bertrand Méens, Expert en sécurité. Ce nouveau type d’audit de
sécurité permet ainsi d’identifier toute sorte de vulnérabilités
informatiques affectant un site Internet, une application mobile, un
réseau d’entreprise ou encore des objets connectés… et se différencie,
selon Ely de Travieso, Fondateur de BugBountyZone, de par son
approche innovante, basée sur un engagement de résultat et non plus
de moyens.
LA CHASSE EST OUVERTE !
OUI, MAIS OÙ… ?
Plusieurs plateformes de Bug Bounty ont vu le jour ces dernières
années en France comme à l’étranger, et se placent aujourd’hui en
tant qu’intermédiaire entre les entreprises et les chercheurs de
vulnérabilités. « Une plateforme de Bug Bounty s’appuie sur une
communauté de chercheurs en sécurité informatique et permet à ses
clients de mettre en œuvre une recherche de vulnérabilités en
rémunérant les chercheurs à la faille découverte », explique Yassir
Kazar, CEO de Yogosha. « A travers une interface, les entreprises et
les organisations peuvent collaborer avec les chercheurs, en vue de
corriger les vulnérabilités identifiées par la communauté sur leurs
technologies ». Ces plateformes intermédiaires permettent également
d’aider les entreprises à mettre en place leurs programmes de Bug
Bounty, mais aussi d’assurer aux chercheurs d’obtenir une récompense
en adéquation avec les vulnérabilités identifiées, complète Loïc
Dubarry.
Le principe d’un programme de Bug Bounty est simple, explique Ely
de Travieso : « l’entreprise cliente s’inscrit et définit le support qu’elle
souhaite auditer. Celui-ci est ensuite soumis à une communauté de
chercheurs en sécurité, qui s’organisent pour identifier les failles et
communiquent à l’entreprise cliente les recommandations associées. »
En effet, complète Yassir Kazar, après avoir défini un périmètre de
recherche, les entreprises reçoivent de la part des chercheurs inscrits
sur la plateforme des rapports de failles accompagnés d’un POC (Proof
Of Concept) que l’entreprise valide, puis rémunère selon un prix
convenu d’avance ».
La société émettrice du programme de Bug Bounty met en général un
périmètre dédié à disposition d’un ensemble de chercheurs (groupe
ouvert ou fermé), afin d’éviter toute interférence avec les systèmes de
THÉMA : BUG BOUNTY
26
Jusqu’à présent, la majorité des entreprises faisaient appel aux tests d’intrusion et audits de sécurité
pour identifier leurs vulnérabilités et y remédier. Mais, depuis quelques années, une autre activité
se démocratise et vient compléter ces services : le Bug Bounty. Netscape en fut précurseur dès 1995,
en récompensant ses chercheurs en fonction des failles et bugs identifiés. Depuis, de nombreuses
entreprises, à commencer par les géants de l’Internet, y ont recours. Mais qui se cachent derrière
ces chasseurs de primes des temps modernes… qui ne ressemblent plus vraiment à Elliot Belt dans
Lucky Luke ?
Bug Bounty
ou les chasseurs
de primes des temps
moderneS...Par Marc Jacob et Emmanuelle Lamandé
©ChristianLagerek
LOÏC DUBARRY, OPENMINDED

2. production, explique Loïc Dubarry. « Les chercheurs utilisent alors ce
périmètre dédié au programme de Bug Bounty pour y identifier les
potentielles failles de sécurité. Lorsqu’un chercheur pense avoir trouvé
une vulnérabilité, il va alors soumettre à la société responsable du
programme un rapport de vulnérabilité détaillé. La criticité de celle-ci
sera ensuite évaluée par la société et une récompense sera offerte au
chercheur, relative à la vulnérabilité identifiée. Bien qu’à l’origine un
Bug Bounty avait vocation à uniquement identifier les failles, les
chercheurs peuvent également aujourd’hui proposer des mesures de
remédiation dans les rapports de vulnérabilités envoyés aux
entreprises. Ces dernières peuvent alors décider de faire appel au
chercheur responsable du rapport, pour les aider à corriger les
vulnérabilités ou bien lui demander d’essayer d’exploiter à nouveau
les failles une fois les remédiations appliquées. La même méthodologie
est utilisée dans les campagnes de tests d’intrusion. Les auditeurs
proposent des préconisations de remédiation concernant chaque
vulnérabilité, et peuvent apporter leur aide au client pour la correction
ou en cas de demande de retest des vulnérabilités. »
Les plateformes réunissant des chercheurs professionnels proposent
effectivement, joint aux rapports de failles, des indications de
remédiation, de correction et/ou de bonne pratiques qui suffisent le
plus souvent à corriger la faille, explique Yassir Kazar. C’est d’ailleurs,
selon Ely deTravieso, l’intérêt de travailler avec des professionnels qui,
de manière très pédagogique, indiquent pas à pas les correctifs à
appliquer. Ils sont, de plus, habitués à rédiger des rapports de
correction. L’entreprise auditée a aussi la possibilité d’échanger depuis
son espace privé avec le partenaire en charge de son Bug Bounty si
besoin.
En résumé, un Bug Bounty se présente donc sous la forme d’un
programme comportant la durée de la recherche, les montants des
primes, selon le niveau de vulnérabilités, et le périmètre à auditer.
L’objectif est de trouver les vulnérabilités qui apportent un risque, de
définir l’exploitabilité de ces dernières et de proposer les solutions de
correction adéquates, précise Bertrand Méens.
YOGOSHA, BOUNTY FACTORY &
BUGBOUNTYZONE : LES 3 PRINCIPAUX
ACTEURS FRANÇAIS
En France, trois acteurs
majeurs sont apparus sur
ce marché ces dernières
années, explique Yassir
Kazar : « Yogosha fin
2015, Bounty Factory
début 2016, suivi de
BugBountyZone.
Parallèlement, Zero-
copter était créé aux
Pays-Bas. En Belgique,
est apparu début 2017
Intigriti, puis FindBug au
Kosovo. On recense
également trois acteurs
significatifs aux États-
Unis : HackerOne, le
l e a d e r d u m a r c h é ,
également présent en
A l l e m a g n e e t e n
Angleterre, BugCrowd et
Synack, qui s’implante en Asie du Sud-Est. »
Outre ces trois principales plateformes présentes dans l’Hexagone,
« d’autres acteurs français de la sécurité, comme les sociétés de
conseil, travaillent à incorporer les Bug Bounties dans leurs catalogues
de prestations de services. Les entreprises intéressées pourront ainsi
organiser un programme privé en invitant uniquement les consultants
de leur prestataire, et ainsi disposer d’une équipe de professionnels
de la sécurité dédiée à ce programme privé. Ce système peut s’avérer
intéressant économiquement, en complément de tests d’intrusion
classiques, dans la mesure où l’entreprise cliente rémunérera la société
de conseil uniquement si des vulnérabilités sont découvertes »,
complète Loïc Dubarry.
D’ailleurs, de plus en plus d’entreprises lancent aussi leurs propres
« Bug Bounties » aujourd’hui. « Certaines organisations, à l’instar de
Google ou de Facebook, jugent en effet utile d’intégrer en interne les
compétences nécessaires à la mise en place d’un Bug Bounty :
recrutement de chercheurs en sécurité au sein d’une communauté,
encadrement juridique de la pratique, gestion des rapports de failles
entrants, paiements, etc. Cette approche peut être justifiée pour les
entreprises qui souhaitent s’adosser à une communauté de « white
hat » et accroître leur influence dans le secteur infosec », explique
Yassir Kazar. Lancer son propre Bug Bounty permet, de plus, aux
entreprises d’avoir un complément aux tests d’intrusion classiques,
estime Loïc Dubarry, car un nombre plus important d’experts vont
pouvoir tester la sécurité du périmètre. En publiant les résultats des
différents programmes de Bug Bounty, les entreprises pourront
également prouver que la sécurité de leurs systèmes est prise au
sérieux. Par exemple, dans le cas d’une entreprise proposant un service
hébergeant des données sensibles (comme des informations de
paiement), les clients pourront ainsi avoir l’assurance que leurs
données sont stockées de manière sécurisée.
Toutefois, pour Ely de Travieso, jusqu’à présent « seules les grandes
entreprises pratiquent leurs propres Bug Bounties : c’est le cas de
Google, Facebook, etc.Avec un flux aussi important de données, avoir
sa propre plateforme permet une gestion plus facile de ses bugs tout
en créant un buzz autour de soi. Ce type d’entreprise propose des
Thema
BUG BOUNTY
Bug Bounty or modern day bounty hunters ...
By Marc Jacob and Emmanuelle Lamandé
Until now the majority of companies have used intrusiontesting and security audits to identify and addressvulnerabilities. But over the last few years another activity,complementing these services, has become morewidespread: the Bug Bounty. Netscape was a forerunneras long ago as 1995, rewarding its researchers based onidentified vulnerabilities and bugs. Since then manycompanies have adopted this method, especially thegiants of the Internet. But just who are these modern daybounty hunters ... who no longer look anything like ElliotBelt in Lucky Luke?
THÉMA : BUG BOUNTY
27
YASSIR KAZAR, YOGOSHA
©RachidBennis

3. récompenses phénoménales pour attirer les chercheurs du monde
entier. Avec autant de données, donc autant de risques, disposer de
sa propre plateforme est une démonstration de prise en considération
de la sécurité de ses utilisateurs. Cependant, il est, bien entendu,
évident que ces entreprises disposent de leur propre équipe de
sécurité. »
BUG BOUNTY : DU PUBLIC AU PRIVÉ
Différents types de programmes de Bug Bounty existent donc
aujourd’hui. Ils peuvent être publics ou privés selon le niveau de
confidentialité souhaité, explique Bertrand Méens. Ces programmes
peuvent être internes avec les ressources de l’entreprise, comme une
sorte de hackaton, externalisés avec des plateformes tierces, voire
sauvages entre « white hat » bienveillant et « black hat » qui iront
jusqu’à une demande de rançon sous peine de divulguer la
vulnérabilité trouvée. Ely deTravieso distingue, pour sa part, deux types
de plateformes de Bug Bounty. « Les premières disposent d’une
grande communauté de chercheurs en sécurité et n’imposent pas de
règles de fonctionnement tant au niveau de la qualité des failles de
sécurité remontées que des conditions générales de recherche de
vulnérabilités. Plus adapté au marché européen, le deuxième type de
plateformes est plus orienté vers une qualité managée, qui impose un
nombre de chercheurs en sécurité plus réduit, ainsi qu’une approche
méthodologique et cadrée. »
Loïc Dubarry aussi recense deux catégories de Bug Bounty :
• Le programme public, qui sera accessible par tout le monde. Les
détails du Bug Bounty sont le plus souvent présents sur le site
officiel de la société organisatrice, ou sur des plateformes dédiées
comme Bounty Factory ou BugCrowd ;
• Le programme privé, accessible uniquement par quelques
chercheurs. Ces derniers peuvent être choisis selon leur
réputation dans l’industrie ou s'ils ont déjà participé à un
programme public par exemple.
Yassir Kazar distingue, quant à lui, trois types de Bug Bounties
proposés par les grands acteurs du marché : le Public, où tout
chercheur en sécurité est appelé à participer - c’est l’approche
retenue par des acteurs tels que Facebook ou Google - le Privé, où
seuls des chercheurs préalablement inscrits sur une plateforme sont
invités, et le On Demand, où seule une sélection réduite de
chercheurs assemblés par les responsables de la plateforme et/ou
le client sont invités.
DES CHERCHEURS DE FAILLES AUX
PROFILS TRÈS VARIÉS
Quel que soit le type de programme choisi, on peut se demander
qui sont ces chasseurs de failles… Comme le constate Loïc Dubarry,
les profils des chercheurs de vulnérabilités sont très variés. Ils peuvent
aussi bien déjà travailler dans le domaine de la sécurité (pentesters…)
que dans un tout autre secteur, avec le Bug Bounty comme hobby. Ely
de Travieso remarque également que la plupart des plateformes
pratiquant le Bug Bounty travaillent avec des chercheurs de tout
horizon. « Chez BugBountyZone, les partenaires sont des
professionnels avant tout, sélectionnés avec soin. Outre la certification
PASSI, ils disposent chacun d’expériences dans des univers
technologiques simples ou complexes, garantissant une meilleure
qualité de service aux entreprises clientes. » De son côté, la
communauté Yogosha est une « communauté fermée, exclusivement
constituée de seniors de l’infosec. La plupart ont un parcours
professionnel dans le domaine du pentest, et sont localisés un peu
partout dans le monde, essentiellement en Europe. »
BUG BOUNTY : UNE ALTERNATIVE AUX
TESTS D’INTRUSION ET AUDITS DE
SÉCURITÉ ?
Bien que faisant appel à des compétences communes, un programme
de Bug Bounty se distingue des tests d’intrusion et audits de sécurité
« classiques » auxquels les entreprises ont le plus souvent recours.
« Habituellement, une entreprise engage une ou deux personnes pour
réaliser, à un instant T, un audit de sécurité sur une cible précise, en
respectant une méthodologie spécifique sur une période d’une à deux
semaines », explique Ely de Travieso. « Vous êtes donc limité par les
compétences et les connaissances de ces pentesteurs, ainsi que par
le temps que vous allez leur permettre d’allouer à votre sécurité.
L’approche Bug Bounty est différente. Basée sur un engagement de
résultat, elle permet d’impliquer plus de monde pour auditer le support
et d’ouvrir la période de test sur des durées plus longues. Cela permet
tout simplement d’accroître les performances du Bug Bounty et de se
rapprocher de la réalité d’une attaque. » Loïc Dubarry le confirme : les
programmes de Bug Bounty donnent, en effet, la possibilité aux
entreprises de faire tester leurs systèmes par un nombre plus important
d’experts à un coût moindre, ce qui maximisera la probabilité de
découvrir des vulnérabilités. Cependant, pour qu’un programme de
Bug Bounty soit attrayant pour les chercheurs, il doit proposer des
récompenses à la mesure de leurs expertises, ce qui peut très
rapidement augmenter son coût, notamment si de nombreuses
vulnérabilités sont découvertes... contrairement à un test d’intrusion
qui sera proposé à un montant forfaitaire et probablement plus
exhaustif.
Pour Bertrand Méens,
« l’objectif d’un test
d’intrusion et d’un audit
de sécurité est déjà
différent. On pratique le
pentest, afin de tester la
capacité à s’introduire
dans une application ou
plus globalement dans
un SI… l’objectif étant la
recherche de vulnéra-
b i l i t é s p e r m e t t a n t
l’intrusion. L’audit de
sécurité se pratique pour
mesurer le niveau de
sécurité par rapport à un
référentiel. Ces audits
sont réalisés ponctu-
ellement à des étapes
clés de la vie d’une
application : nouvelle mise
en production d’une version majeure, suivi récurrent du niveau de
sécurité pour répondre à des besoins de conformité… Un programme
de Bug Bounty représente un maillon manquant, notamment pour
l’intégration de la sécurité dans le cycle de vie des applications
permettant de gérer son niveau de sécurité en continu. Il répondra
mieux aux nouvelles pratiques de développement, comme l’Agile ou
le DevOps, où les mises en production de nouvelles versions sont
continuelles. Le Bug Bounty s’avère une évolution pour les entreprises
souhaitant plus de maturité concernant les solutions d’audits. »
Yassir Kazar estime aussi que le Bug Bounty se différencie de par la
nature du « produit » qu’il propose aux entreprises, des rapports de
failles de sécurité, là où les autres services d’audit proposent des
combinaisons de produits et services plus élaborés. Il se distingue
également par la rapidité avec laquelle il peut se mettre en service -
THÉMA : BUG BOUNTY
29
BERTRAND MÉENS

4. de l’ordre de quelques heures - et peut s’interrompre, mais aussi la
vitesse avec laquelle l’entreprise peut commencer à recevoir des
résultats. Cela lui permet de s’adapter aux développements agiles en
cours dans un nombre croissant d’entreprises.
BUG BOUNTY : UN PLUS POUR LA
SÉCURITÉ ET LE DEVOPS
La rapidité et la vélocité de l’approche Bug Bounty permettent, en
effet, selon lui, de l’incorporer dans une démarche agile (Continuous
Release, Continuous Integration), afin de caler la sécurité au même
rythme que les développements d’une entreprise et de l’intégrer dans
une approche DevOps. De plus, « un programme de Bug Bounty fait
intervenir plusieurs chercheurs et non un seul comme dans le cadre
d’un audit traditionnel », ce qui représente, pour Bertrand Méens, sa
principale valeur ajoutée. « Le résultat ne dépend donc plus de la
compétence ou de la forme de l’auditeur, mais de la qualité de la
communauté de chercheurs qui interviendront dans le programme
lancé. L’autre valeur ajoutée est le RoI (retour sur investissement)
possible, car le paiement est sous forme de « success fees » : on paye
uniquement en fonction des vulnérabilités trouvées, et non plus pour
du temps passé à auditer avec comme résultat un rapport. Le Bug
Bounty permet le passage d’une obligation de moyens que proposent
les audits à une obligation de résultats : faute de trouver des
vulnérabilités, le chercheur n’est pas rémunéré.
Par contre, il ne faut pas pour autant dénigrer les audits traditionnels :
le Bug Bounty ne remplace pas un test d’intrusion ou un audit de
sécurité qui répondent le plus souvent à des besoins ponctuels en
phase de test avant la mise en production d’une version majeure par
exemple. Certains périmètres d’audit sont aussi plus difficilement
éligibles à un Bug Bounty ; on peut citer par exemple les audits
d’infrastructures de SI. »
De son côté, Ely de
Travieso considère que la
valeur ajoutée d’un Bug
Bounty en matière de
sécurité est multiple.
D’une part, ce type de
programme rend plus
abordable la recherche
de vulnérabilités, car il
permet aussi à des PME
de rehausser leur niveau
de sécurité. Il s’avère
également complé-
mentaire des audits de
sécurité classiques pour
les grands comptes,
puisqu’il permet, de par
son engagement au
résultat, de vérifier
qu’aucune vulnérabilité
n’a été oubliée lors des audits de sécurité « classiques ». En outre, les
Bug Bounties, étant plus économiques, permettent des actions plus
nombreuses ou plus conséquentes et donc un meilleur niveau de
sécurité du SI. « Sans compter le fait que les experts en sécurité
participants aux Bug Bounties connaissent toutes les dernières
techniques disponibles pour exploiter les failles de sécurité les plus
récentes », complète Loïc Dubarry. Ainsi, proposer un programme de
Bug Bounty permettra à l’entreprise de faire appel à des experts du
monde entier capables d’identifier les dernières vulnérabilités du
moment.
UN PROGRAMME POUR TOUS ?
Pour Loïc Dubarry, « un programme de Bug Bounty s’adresse à toute
entreprise disposant de systèmes exposés sur Internet, à commencer
par les sites Web, les applications mobiles… Mais tout autre service
peut potentiellement bénéficier de ce type de programme. Cependant,
le phénomène étant assez récent en France, on recense aujourd’hui
un nombre limité d’entreprises ayant recours au Bug Bounty. On y
retrouve tout de même de grands professionnels de l’IT, comme OVH
ou Outscale, qui proposent des programmes publics. Outre atlantique,
en revanche, cette pratique est plus répandue. La plateforme
HackerOne regroupe des programmes aussi bien pour des sociétés,
comme Facebook, Microsoft, Uber ou bien Tesla, mais aussi pour des
entreprises plus modestes, comme Munzee, Mapbox ou encore
Mail.ru… » D’ailleurs, l’avantage du Bug Bounty est, selon Ely de
Travieso, son accessibilité à tout type d’entreprise, quels que soient sa
taille et son secteur. « Il permet de démocratiser la sécurité des
Systèmes d’Information et s’adapte à toutes les entreprises et tout
type de support. Chez BugBountyZone, nos clients sont aussi bien des
sites de e-commerce désirant protéger les coordonnées bancaires des
utilisateurs, que des TPE ayant un site Web ou un blog réunissant une
grande communauté de fans, ou des grandes entreprises. »
Le Bug Bounty devrait effectivement s’adresser à toutes les entreprises
soucieuses du niveau de sécurité de leurs applications ou de leurs SI,
estime Bertrand Méens. Cependant, pour lui, lancer un Bug Bounty
demande déjà une certaine maturité en termes de démarche de
sécurisation et les entreprises s’y aventurant sont en fait à un stade
avancé. « Lancer un programme de Bug Bounty ne s’improvise pas et
doit s’effectuer de manière réfléchie : je fais rechercher des
vulnérabilités qu’un outil, de type scanner de vulnérabilités, ne trouvera
pas, puis je dois rendre des ressources disponibles afin de valider les
failles identifiées et de les corriger rapidement. » D’ailleurs, chez
Yogosha, les clients identifiés comme « mûrs » pour une approche
Bug Bounty sont principalement les éditeurs B2B (lourdement
impactés par la règlementation européenne, et qui sont
audités/pentestés par leurs clients de façon régulière) et les grands
comptes, à la recherche de solutions de cybersécurité susceptibles de
s’intégrer dans une démarche agile.
XSS : LA FAILLE LA PLUS PRÉVALENTE
De nombreuses failles sont ainsi identifiées chaque jour par ces
chasseurs de vulnérabilités, mais que détectent-ils le plus souvent ?
Pour Ely deTravieso, « en théorie, les chercheurs en sécurité identifient
les mêmes failles de sécurité qui seraient découvertes lors d’un audit
de sécurité « classique ».Après, en fonction des technologies utilisées,
des supports, de la maturité des équipes de développement et du
périmètre du Bug Bounty, le nombre de failles de sécurité remonté
sera plus ou moins important. »
Parmi les vulnérabilités les plus fréquemment identifiées, Loïc Dubarry
constate, de son côté, une majorité de failles de type Cross-Site
Scripting (XSS), injections SQL, ou encore des failles liées aux
mécanismes d’authentification et des fuites d’informations. Mais en
majorité, « toutes les plateformes s’accordent à dire que la faille la
plus prévalente est le XSS », remarque Yassir Kazar.
THÉMA : BUG BOUNTY
30
©ChristianLagerek
ELY DE TRAVIESO, BUGBOUNTYZONE

5. THÉMA : BUG BOUNTY
31
UNE FAILLE COÛTE 500 DOLLARS EN
MOYENNE
Le coût d’une faille sur un Bug Bounty est, quant à lui, en hausse
constante, souligne-t-il. « Le prix moyen a été calculé récemment par
HackerOne, qui l’évalue à un peu plus de 500 dollars. Le marché des
talents étant mondial, ce prix reflète ce que nous constatons sur notre
propre plateforme. SurYogosha, le prix de chaque faille est déterminé
par l’évaluation CVSS de la criticité de la faille, réalisée grâce à un
widget avec une double validation client/chercheur. » En général, les
récompenses oscillent au minimum autour de 50 à 100 euros, mais
peuvent effectivement augmenter en fonction de la criticité de la
vulnérabilité, remarque de son côté Loïc Dubarry. Cependant, chaque
entreprise propose ses propres tarifs. A noter également que les
récompenses ne sont pas toujours financières, et peuvent prendre la
forme de cadeaux, goodies, services gratuits, etc.
Le coût d’une faille s’avère effectivement très aléatoire, estime Ely de
Travieso. « Chez BugBountyZone, nous avons déterminé une
fourchette de tarifs en fonction de la taille de l’entreprise et du niveau
de criticité de la vulnérabilité détectée. Par exemple, pour une TPE, la
vulnérabilité critique est récompensée moins de 500 euros. On observe
également un effet du buzz : plus l’entreprise récompense, plus son
Bug Bounty sera attractif. » En effet, confirme Bertrand Méens : « bien
que le coût d’une faille dépende du tarif défini dans le programme, ce
montant doit être attractif pour attirer les chercheurs. L’ordre de prix
peut d’ailleurs s’avérer de plusieurs milliers d’euros : jusqu’à 10 000
euros pour OVH ou plus de 13 000 dollars pour Google. »
BUG BOUNTY : UNE DÉMARCHE QUI
DOIT ÊTRE TRÈS ENCADRÉE
Toutefois, quels que soient le périmètre défini par une entreprise, le
type de failles recherchées ou la coût associé… une démarche de Bug
Bounty doit être au préalable particulièrement bien encadrée, aux
niveaux juridique, contractuel… En effet, pour Yassir Kazar, « toute
entreprise souhaitant se lancer dans un Bug Bounty doit, en premier
lieu, vérifier auprès de la plateforme sur laquelle elle s’appuie sa
conformité juridique et législative aux impératifs propres à ses
contraintes. Elle doit également s’assurer que les conditions de sécurité
et de confidentialité offertes par la plateforme s’appuient sur des
développements de type « privacy by design » et que cette dernière
est elle-même sécurisée selon les règles de l’art.
Si l’entreprise n’a pas d'expérience préalable du Bug Bounty, elle devra
s’assurer que la plateforme propose un accompagnement, destiné à
définir le périmètre du Bug Bounty, à encadrer le programme,
déterminer le prix des failles...
Enfin, il conviendra de s’assurer que la plateforme de Bug Bounty
propose des services qui s’avèreront vite indispensables, tels que le
whitelisting d’adresse IP, un formatage rigoureux des rapports de faille
incluant une approche CVSS, un dashboard de suivi de KPI, etc. »
Pour Ely de Travieso aussi, un accord de confidentialité doit être signé
avant tout par les experts et les entreprises qui souhaitent pratiquer
le Bug Bounty. Les montants de récompenses doivent également être
définis au préalable, avant le lancement du programme, et une fois
les vulnérabilités publiées, puis corrigées, celles-ci devront être effacées
de la plateforme. Les recherches doivent, de plus, être effectuées
pendant des heures de travail, afin d’éviter des effets de bord négatifs,
comme la nécessité d’organiser une astreinte pour répondre à des
problématiques qui surviendraient la nuit entre 22 heures et 2 heures
du matin (créneau horaire de remontée maximum des vulnérabilités).
Enfin, il faut pouvoir engager la responsabilité du chercheur concerné
de manière à pouvoir obtenir une indemnisation en cas de non-respect
des conditions du Bug Bounty.
Toutefois, le phénomène de Bug Bounty étant assez récent,
notamment en France, il est, selon Loïc Dubarry, encore assez difficile
de trouver des retours d’expériences relatifs à l’encadrement de
programmes de Bug Bounty. Il est donc aujourd’hui plus simple pour
les entreprises d’organiser leurs programmes en passant par des
plateformes dédiées ou des acteurs privés. Elles pourront ainsi
s’appuyer sur l’expertise et le retour d’expérience de ces acteurs.
A L’ABRI D’UN « BUG BOUNTY PIRATE » ?
De plus, afin d’éviter les pièges ou de tomber sur un « Bug Bounty
pirate », nos experts recommandent en amont quelques précautions
et vérifications. Bertrand Méens préconise, comme pour les sites de
e-commerce, de se fier en premier lieu à la notoriété, de rechercher
des avis sur le Web et de demander les références. Afin d’éviter un
Bug Bounty pirate, il convient effectivement, selon Yassir Kazar, de
screener les chercheurs, ceux-ci étant de plus en plus nombreux et pas
forcément bien intentionnés. Il faut également s’assurer d’utiliser un
VPN dédié et un système de whitelisting des adresses IP pour les
périmètres sensibles. Loïc Dubarry recommande, quant à lui, de
toujours vérifier si l’entreprise en question dispose bien d’un
programme officiel de Bug Bounty sur son site, mais aussi que le
périmètre corresponde bien à ce qui est indiqué. En passant par des
plateformes comme celles évoquées précédemment, les chercheurs
ont l’assurance que les programmes sont officiels et qu’il ne s’agira
pas d’un « Bug Bounty pirate ». En effet, pour éviter les pièges, Ely de
Travieso préconise aussi de confier son Bug Bounty à des
professionnels de manière à avoir le contrôle sur les conditions d’accès
au Bug Bounty en termes de tarif, de durée et de confidentialité des
échanges.
Bien que chaque entreprise ait ses propres spécificités, il recommande
également d’aborder le Bug Bounty en se concentrant, dans un
premier temps, sur des vulnérabilités informatiques critiques pour
l’activité de l’entreprise, avant de s’intéresser à celles possédant un
impact modéré en termes de criticité. Bertrand Méens conseille, de
son côté, aux entreprises de se faire accompagner par des cabinets
de conseil en sécurité qui sauront les orienter vers les bonnes
plateformes et ainsi éviter les pièges. L’aspect juridique est, selon lui,
essentiel car, comme dans le cadre d’un audit de sécurité, il faut
missionner ces chercheurs pour respecter notamment la loi Godfrain
qui définit l’intrusion et le maintien intrusif en France.
Avant de se lancer dans un programme de Bug Bounty, Loïc Dubarry
préconise aussi aux entreprises de clairement définir le périmètre sur
lequel elles acceptent la soumission de vulnérabilités, ainsi que le type
de failles à rechercher. De plus, la publication sur des plateformes
dédiées au Bug Bounty permettra à l’entreprise de diffuser son
programme à un public plus large qui suit régulièrement les actualités
de ces plateformes, et donc amener un plus grand nombre d’experts
à participer au programme. Enfin, il est, selon lui, préférable pour
l’entreprise de mettre à disposition des chercheurs les systèmes dans
un environnement séparé de la production, par exemple un
environnement beta. Cela permet d’éviter toute perturbation de la
partie « production » du système, potentiellement en cours
d’utilisation par les clients de l’entreprise. Pour Yassir Kazar, il est
également préférable de disposer d’une équipe sécurité en mesure de
piloter un Bug Bounty, mais aussi de dispatcher les rapports de failles

6. THÉMA : BUG BOUNTY
33
aux bonnes personnes au sein de l’entreprise cliente. Préalablement
à la mise en place d’un Bug Bounty, il recommande, en outre, de
détecter les failles les plus évidentes à l’aide d’un scan automatique.
BUG BOUNTY : UN MÉTIER EN
DEVENIR…
Bien qu’encore relativement jeune sur le sol français, le métier de Bug
Bounty et les programmes dédiés semblent promis à un bel avenir.
« Avec la demande de plus en plus forte de la part des entreprises
pour le domaine de la sécurité, le métier de Bug Bounty devrait
effectivement se développer dans les années à venir », estime Loïc
Dubarry. « Il représente d’ailleurs un avantage non négligeable pour
les entreprises en complément de tests d’intrusions ou d’audits de
sécurité plus classiques, aussi bien d’un point de vue financier que
pour l’image de l’entreprise. En effet, lors d’un test d’intrusion, les
auditeurs vont pouvoir identifier plus de vulnérabilités, car ils ne sont
pas motivés par la rémunération contrairement aux chercheurs de Bug
Bounty. Ainsi, l’entreprise cliente aura une vue beaucoup plus
exhaustive des vulnérabilités impactant son système. Lancer une
campagne de tests d’intrusion avant un programme de Bug Bounty
va permettre à l’entreprise de réduire les coûts de ce dernier. Les
auditeurs auront ainsi déjà identifié un grand nombre de vulnérabilités
lors du test d’intrusion initial. »
Selon Ely de Travieso, le métier du Bug Bounty devrait muter dans les
prochaines années de par le développement de nouveaux business
model que pratiqueront les sociétés spécialisées en sécurité
informatique, soit en direct, soit via leur participation active dans les
différentes plateformes de Bug Bounty. Pour Yassir Kazar, du côté des
chercheurs en sécurité, le métier devrait voir émerger des champions,
dont la productivité est telle qu’ils peuvent prétendre à des revenus
très importants à travers leurs activités de « hunter », ainsi qu’un
nombre plus élevé de chercheurs exerçant une telle activité comme
un complément de revenus. Le reste des chercheurs participant à des
Bug Bounties garderont cette activité comme une forme de loisir. Du
côté des plateformes, on peut s’attendre à terme à une consolidation
du marché, mais sans doute pas, pour des raisons de souveraineté, au
monopole d’une ou deux plateformes.
Enfin, pour Bertrand Méens, le Bug Bounty n’est pas l’ubérisation de
l’audit de sécurité, c’est un complément et il répond à des enjeux
différents pour des entreprises plus matures dans leur démarche de
sécurisation. « Le Bug Bounty est dans une phase où les entreprises
découvrent les enjeux et où le marché s’évangélise autour de ces
derniers. Les plateformes actuelles sont l’objet d’acteurs indépendants,
qui sont déjà à un stade professionnel. Toutefois, il faut s’attendre à
l’arrivée de nouveaux protagonistes, issus d’acteurs traditionnels, avec
à terme une consolidation de ce marché. Les chercheurs intervenant
pour ces plateformes vont aussi se professionnaliser dans le sens où
ce n’est pas encore majoritairement leur emploi à plein temps. On
peut d’ailleurs s’attendre à ce que cela le devienne pour une part non-
négligeable de chercheurs.
Reste, en outre, à espérer une amélioration générale du niveau de
sécurité des applications par une vraie prise de conscience des
entreprises quant à l’importance de la sécurité numérique pour leur
activité et leur pérennité.A ce moment, une plus grande maturité dans
la démarche de sécurisation entraînera certainement une
augmentation du nombre de programmes de Bug Bounty, en propre
ou via des plateformes tierces, conclut-il. ■ ■ ■

7. Global Security Mag : En quoi consiste votre métier de Bug
Bounty ?
BB : Mon travail, qui s’avère aussi ma passion, consiste à identifier
des vulnérabilités sur des Systèmes d’Information... ces mêmes
failles de sécurité qui peuvent être exploitées par un attaquant afin
de mener des actions pouvant compromettre une entreprise ou ses
clients.
GS Mag : Quel est votre profil ?
BB : Je suis titulaire d’un DUT en informatique obtenu à Paris
Descartes, mais j’ai acquis 99% de mes connaissances par moi-
même, et je me considère plus comme un autodidacte, finalement.
CRÉATIVITÉ, PATIENCE & PÉDAGOGIE :
DES QUALITÉS ESSENTIELLES
GS Mag : Quels sont les critères spécifiques à respecter
pour l’exercice de cette fonction ?
BB : Il est indispensable de disposer d’une véritable aisance à se
mouvoir au sein d’un Système d’Information ou d’un réseau de
machines. C’est primordial. Il faut aussi être créatif, de la même
façon qu’un bon joueur d’échecs l’est, et avoir de la patience.
Beaucoup ! Etre pédagogue est également indispensable, car les
rapports que l’on envoie sur une plateforme de Bug Bounty sont
certes destinés à aider à corriger une vulnérabilité, mais également
à transmettre une compétence. Il faut, de plus, comprendre
comment fonctionne une entreprise, et savoir échanger avec leurs
services informatiques, puisque c’est avec eux que l’on interagit via
une plateforme de Bug Bounty.
GS Mag : Quel est votre quotidien de Bug Bounty ?
BB : Quand je travaille en journée - je suis freelance et parfois
mobilisé sur des missions précises - j’y consacre deux heures tout
au plus, le soir à la maison. Quand j’ai plus de temps libre, je peux
y passer jusqu’à huit heures par jour.
SEUL LE 1ER
À RAPPORTER
UNE VULNÉRABILITÉ TOUCHERA
LA RÉCOMPENSE
GS Mag : Quelles sont vos principales missions et activités ?
BB : La principale mission qui vous est demandée consiste à identifier
des vulnérabilités dans un périmètre défini par une entreprise sur une
plateforme de Bug Bounty, mais aussi à rédiger un rapport de bug qui
soit clair et intelligible. Ce dernier doit, de plus, permettre à l’entreprise
de corriger le plus facilement et efficacement possible la faille
identifiée. Le tout, bien sûr, le plus rapidement possible, car les
différents hackers sont en compétition sur un même Bug Bounty et
seul le premier à avoir rapporté une faille spécifique touchera une
récompense pour celle-ci, le second à la signaler n’obtiendra pas de
récompense, juste des « kudos » (la gloire).
GS Mag : Comment embauche-t-on un Bug Bounty ?
BB : Il n’y a pas d’embauche à proprement parler sur les
plateformes de Bug Bounty. Certaines sont ouvertes à tous et
réunissent de très vastes communautés, mais d’autres sont bien
plus sélectives et n’ouvrent leurs portes qu’à des profils sélectionnés
au cas par cas. Ces plateformes là sont généralement bien plus
regardantes quant aux compétences de leurs membres et beaucoup
plus exigeantes sur la façon de rédiger un rapport de faille. C’est
sur ces plateformes que je travaille, les possibilités de gains étant
plus importantes qu’ailleurs.
THÉMA : BUG BOUNTY
34
Etre Bug Bounty, comme l’explique BB, ne s’improvise pas ! Qu’il s’agisse d’un métier à plein temps,
d’un complément de revenus ou juste d’un hobby, chasser les vulnérabilités nécessite de nombreuses
compétences et surtout beaucoup de patience…
Dans la peau d’un
Bug BountyInterview d’un Bug Bounty (alias BB)
Par Marc Jacob et Emmanuelle Lamandé
©ChristianLagerek

8. GS Mag : Avec quel genre d’entreprises travaillez-vous et
de quelle manière ?
BB : Je travaille depuis chez moi sur deux plateformes :Yogosha et
Synack, ce qui m’a permis de collaborer avec de grands noms du
monde de la technologie, plusieurs startups et quelques CAC40.
DE L’EXPLORATION DU SYSTÈME
AU DÉVELOPPEMENT D’UN SCÉNARIO
CRITIQUE
GS Mag : Sur quelle démarche vous appuyez-vous pour
rechercher les bugs et vulnérabilités ?
BB : Avant tout, je passe le temps nécessaire à lire la mission qui
définit un Bug Bounty, puis je commence à explorer le système qui
fait parti du périmètre établi. J’essaie ensuite de comprendre les
fonctionnalités et le comportement des applications que j’ai en face
de moi, et j’identifie les technologies utilisées. Puis je passe à la
recherche de vulnérabilités, à leur exploitation et au développement
d’un scénario critique impactant.
GS Mag : Quels sont les outils et techniques que
vous utilisez ?
BB : J’utilise principalement Burp.
GS Mag : Collaborez-vous avec d’autres Bug
Bounties, si oui de quelle manière ?
BB : Je collabore avec d’autres passionnés pour le
partage de techniques, essentiellement.
GS Mag : Quels sont les bugs et
les vulnérabilités que vous
rencontrez le plus souvent ?
BB : En ce qui me concerne, je
trouve principalement, dans l’ordre,
des vulnérabilités de type CSRF, XSS, IDOR,
Open Redirection, et XXE.
GS Mag : Quels sont les écueils les plus
importants et fréquents observés chez les
entreprises en matière de sécurité et de
développement ?
BB : Des utilisateurs d’applications non cloisonnées,
c’est ce que je vois le plus souvent.
GS Mag : Pouvez-vous nous citer un exemple de
scénario rencontré récemment ?
BB : La suppression du compte utilisateur d’un site Web sur
lequel un utilisateur est authentifié suite à un clic sur un lien
malveillant.
LE BUG BOUNTY DONNE UNE IMAGE
POSITIVE DES HACKERS
GS Mag : Combien êtes-vous rémunéré en moyenne
pour cela ?
BB : La découverte d’un bug rapporte entre 100 et 5 000
euros. La moyenne doit tourner aux alentours de 500
euros. Difficile de ramener cela à un revenu mensuel,
mais si vous avez le niveau, c’est bien plus rémunérateur
qu’un travail salarié, c’est certain. Qui plus est, vous
êtes libre de vos horaires, de votre lieu de travail…
Vous pouvez travailler de n’importe où dans le monde
pour peu que vous ayez une connexion Internet.
GS Mag : De quelle manière votre activité est-
elle cadrée contractuellement et légalement ?
BB : Les plateformes de Bug Bounty sur lesquelles
je travaille proposent un encadrement juridique qui
revient, pour l’entreprise, à quelque chose
d’équivalent au cadre qui la lie avec un prestataire
classique offrant des services de test d’intrusion.Vis-
à-vis des plateformes, je suis un indépendant, ce qui
est assez classique dans la cybersécurité.
GS Mag : Enfin, comment voyez-vous l’avenir
de votre métier ?
BB : Le Bug Bounty est aujourd’hui pour moi un
bon complément de revenus, et pourrait d’ailleurs devenir
une activité à plein temps un jour. Cela permet de développer
une expertise très valorisée aujourd’hui, de rencontrer des
passionnés et de donner une image positive des hackers, ce
qui est une très bonne chose. J’espère, en outre, que le Bug
Bounty va se démocratiser et devenir « mainstream ». Cela
impacterait de façon positive l’image des hackers, trop souvent
liée à la cybercriminalité, et leur offrirait une vraie liberté vis-
à-vis du monde du travail. ■ ■ ■
Thema
BUG BOUNTY
Living the life of a Bug Bounty
Interview with a Bug Bounty (aka BB)By Marc Jacob and Emmanuelle Lamandé
Being a Bug Bounty, as BB explains, is not for greenhorns !Hunting down vulnerabilities requires many skills and aboveall a lot of patience,whether it be a full-time job,an incomesupplement or even only a hobby.
THÉMA : BUG BOUNTY
35

9. La plupart des chercheurs en sécurité utilisent actuellement des
programmes de Bug Bounty, constate Andrew Patel, Senior
Manager, Security Research & Technologies chez F-Secure, à la fois
pour informer les entreprises de bugs que peuvent présenter leurs
logiciels, mais aussi afin de s’assurer de la qualité de leurs propres
outils. D’ailleurs, toutes les entreprises de création de logiciels
devraient, selon lui, tirer parti de ce type de programme aujourd’hui.
Chez Trend Micro, « nous avons deux approches complémentaires
en matière de Bug Bounty », explique Loïc Guézo, CyberSecurity
Strategist de Trend Micro : « tout d’abord, nous utilisons un
programme de Bug Bounty en interne, qui permet aux employés de
participer à des programmes réguliers lancés par exemple sur de
nouveaux produits… D’autre part, via notre programme mondial
« Zero Day Initiative » (ou ZDI). En effet, bien que nos propres
chercheurs trouvent de nombreuses vulnérabilités par eux-mêmes,
il est logique d'accroître leurs efforts en tirant parti des
méthodologies, de l'expertise et du temps des autres grâce à la
Zero Day Initiative. Pour ce faire, nous avons encouragé les rapports
sur les vulnérabilités 0-Days via des récompenses financières pour
les chercheurs. Ceux qui découvrent ces 0-Days peuvent les
soumettre au programme ZDI et recevoir une compensation
monétaire en retour. À mesure qu'un chercheur découvre et fournit
des recherches supplémentaires, les bonus et les récompenses
peuvent augmenter grâce à un programme de fidélisation ».
De leur côté, ESET comme Doctor Web n’ont pas recours
aujourd’hui aux programmes de Bug Bounty. L’équipe du
Laboratoire de recherche virale de Saint-Pétersbourg de Doctor Web
n'utilise pas ce type de programme comme outil de détection et
d'élimination des vulnérabilités, notamment en raison de la
potentielle publication des résultats par les chercheurs, que la
détection d'une vulnérabilité ait été validée ou pas. « Ces
publications seraient inoffensives si les utilisateurs pouvaient
THÉMA : BUG BOUNTY
36
De plus en plus de chercheurs en sécurité utilisent aujourd’hui des programmes de Bug Bounty pour
détecter leurs bugs et vulnérabilités. Quid de nos experts antimalwares ? Quels sont, de plus, les
risques potentiels inhérents à ce type de programme et les points de vigilance à prendre en compte,
afin que ces vulnérabilités ne tombent pas dans les griffes des cybercriminels…
Bug Bounty
des vulnérabilités
entre les griffes
des cybercriminels ?
Par Marc Jacob et Emmanuelle Lamandé
©ChristianLagerek
De gauche à droite : Loïc Guézo, Trend Micro - Andrew Patel, F-Secure - Benoît Grunemwald, ESET France
- Laboratoire de recherche virale - Saint-Pétersbourg, Doctor Web

10. immédiatement effectuer des mises à jour de sécurité. Le problème
est que le logiciel antivirus est une application système qui
nécessite un redémarrage de l'OS pour l’installation des mises à
jour. Cependant, les utilisateurs et les administrateurs système
refusent souvent les mises à jour nécessitant un redémarrage. En
conséquence, la publication d’informations sur une vulnérabilité
pourrait inciter les cybercriminels à lancer des attaques contre les
internautes, pour la plupart peu préoccupés par leur sécurité. Nous
nous sentons aussi responsables de ces utilisateurs et essayons de
minimiser les publications sur les vulnérabilités même si pour cela
il faut refuser d'utiliser le Bug Bounty. Cependant, nous acceptons
avec reconnaissance les notifications de vulnérabilités et les
corrigeons rapidement. »
CERTAINES VULNÉRABILITÉS PLUS
FRÉQUENTES ET PLUS PAYANTES…
Les programmes de Bug Bounty fixent leurs récompenses en
fonction de la gravité des bugs trouvés, explique Andrew Patel. Plus
le bug est important, et plus le paiement sera élevé. Bien entendu,
tous les participants cherchent à atteindre le « jackpot », mais
même s’ils trouvent des bugs moins importants, ils restent
susceptibles d'être payés. Les récompenses s’avèrent généralement
plus conséquentes si le bug en question peut être utilisé, par
exemple, afin d’effectuer des actions telles que l'exécution à
distance côté serveur d'un code arbitraire, l'injection de base de
données côté serveur et/ou l'extraction de données, ou encore pour
contourner les mécanismes d'authentification.
« Les principales vulnérabilités qui nous sont rapportées sont des
variantes XSS, de fausses configurations SSL et l’absence de
protection CSFR », constate Benoît Grunemwald, Directeur des
Opérations chez ESET France. « D’une manière générale, on recense
des failles applicatives traditionnelles, liées à des erreurs de
développement. » De son côté, la Zero Day Initiative (ZDI) a publié,
via son programme de Bug Bounty, 674 avis en 2016, soit huit de
plus que l'année précédente, souligne Loïc Guézo. « Parmi eux, 54
ont été publiés sous forme de 0-Days. Cela signifie que les 620
autres ont été coordonnés avec succès avec le fournisseur impacté
pour sortir le patch ou d'autres mesures d'atténuation. Au total,
ZDI a versé près de 2 000 000 $ USD l’an passé. »
BUG BOUNTY : UN INTÉRÊT
POUR LES CYBERCRIMINELS ?
L’objectif d’un programme de Bug Bounty est de détecter le
maximum de vulnérabilités, mais ce phénomène est-il lui-même
exempt de toute faille ? Les cybercriminels, toujours à la recherche
de nouvelles alternatives pour commettre leurs méfaits, ne
pourraient-ils pas aussi surfer sur la vague ? Il existe effectivement
toujours une possibilité pour des cybercriminels de profiter d’un
programme de Bug Bounty pour approcher une cible intéressante,
estime Loïc Guézo. Néanmoins, aucun cas flagrant n’a à ce jour été
documenté dans le détail, à sa connaissance. De son côté, Andrew
Patel n'a jamais non plus entendu parler d'un programme de Bug
Bounty « pirate ». « On peut effectivement supposer qu'un
cybercriminel puisse créer un faux site Web et se faire passer pour
une plateforme logicielle, dans le but de récolter des informations
sur d’éventuelles vulnérabilités. » Toutefois, selon lui, cela ne
fonctionnerait pas très bien. « Tout d’abord, les programmes de
Bug Bounty existants sont relativement bien connus. Ce site Web
pourrait rester caché mais, dans ce cas, personne ne l’utiliserait.
Dans le cas contraire, il serait rapidement détecté. Si un développeur
est assez consciencieux pour avertir de l’existence d’une faille
logicielle, il prendra sans doute soin de s’assurer que le programme
de Bug Bounty dont il se sert est fiable. » Pour lui, les cybercriminels
pâtissent justement plus aujourd’hui de l’existence de ce type de
programmes, visant à combattre les bugs et les vulnérabilités des
systèmes, qu’ils n’en profitent.
Cependant, le Bug Bounty reste une porte ouverte sur les systèmes
et les applications des entreprises, explique Benoît Grunemwald.
« Une personne mal intentionnée pourrait, de ce fait, en profiter
pour créer des bugs ou des entrées, et agir ultérieurement en vue
d’infecter le système de l’entreprise. C’est pourquoi il est essentiel
que les Bug Bounties soient bien cadrés et encadrés.» Il préconise
également que les applications testées ne soient pas en production,
afin que les bugs ne soient pas exploités en temps réel.
Les cybercriminels pourraient effectivement, selon Doctor Web,
surveiller l'apparition des exploits et lancer des attaques. Même si
les utilisateurs appliquent les mises à jour de sécurité rapidement,
Thema
BUG BOUNTY
Bug Bounty: vulnerabilitiesin the clutches of cybercriminals?
By Marc Jacob and Emmanuelle Lamandé
More and more security researchers are using Bug Bountyprograms to detect bugs and vulnerabilities. What aboutour anti-malware experts? What are the potential risksinherent in this type of program and the areas of concernto take into account, so that these vulnerabilities do notfall into the clutches of cybercriminals?
THÉMA : BUG BOUNTY
37
Répartition des avis publiés par ZDI en 2016
Source : https://www.zerodayinitiative.com/blog/2017/1/9/zdi-2016-retrospective

11. THÉMA : BUG BOUNTY
39
les grandes entreprises vérifient souvent la compatibilité des mises
à jour avant leur installation, retardant ainsi le processus et laissant
potentiellement le temps aux pirates d'attaquer. De plus, l’objectif
d’un programme de Bug Bounty est de rechercher des
vulnérabilités, souligne Doctor Web. « Mais à l'heure actuelle, cette
recherche est aussi devenue une occasion pour les chasseurs de
vulnérabilités de se faire connaître, en publiant certaines
informations le plus vite possible, en en parlant sur un forum, sans
prendre forcément en compte les intérêts des utilisateurs… Ce qui
représente le principal risque aujourd’hui. »
Pour Loïc Guézo, le risque majeur serait l’identification de vulnérabilités
importantes dans le cadre d’un programme de Bug Bounty, mais non
signalées au client, qui seraient gardées sous le coude et utilisées plus
tard, ou revendues sur des places de marché… Pendant ces phases
de recherche, le client aura laissé les cybercriminels faire leur analyse
en toute impunité. Benoît Grunemwald imagine, quant à lui, les
conséquences d’une utilisation tierce d’une plateforme de Bug Bounty.
« D’une part, ces plateformes vous offrent des possibilités de
simplification des rapports, du classement des vulnérabilités, d’un
accompagnement dans le processus de gestion intégrale et d’un
support comptable et financier. D’autre part, elles ont accès à toutes
vos vulnérabilités. »
QUELQUES POINTS DE VIGILANCE
S’IMPOSENT
Comment une entreprise peut-elle alors éviter les pièges et
reconnaître un « bon Bug Bounty » d’un Bug Bounty pirate ? De
quelle manière peut-elle, de plus, s’assurer que ces failles ne soient
pas exploitées a posteriori ?
Plusieurs points permettent déjà, selon Benoît Grunemwald, de se
mettre en alerte quant au risque d’un Bug Bounty pirate :
• Une demande de paiement direct (en général en bitcoin) sans
vous avoir montré le bug ;
• Une communication agressive ;
• Un refus de montrer la preuve du bug ;
• Une proposition indécente de vous offrir vos propres données
volées.
Toutefois, il reste difficile aujourd’hui, selon lui, pour une entreprise
de s’assurer à 100% que ces failles ne soient pas exploitées a
posteriori. « Avec le Bug Bounty, vous achetez un NDA (contrat de
confidentialité) pour une durée limitée. Cependant, la correction de
la vulnérabilité dépend aussi de la nature du logiciel utilisé. Si vous
devez seulement copier un seul portail, puis le remettre en état,
cela se fait rapidement et vous êtes assuré d’avoir un portail
sécurisé. Si vous êtes une entreprise qui distribue des produits à
ses clients, vous disposez d’un contrôle limité sur les versions
déployées par ces derniers et celles-ci pourraient donc être encore
vulnérables et exploitables. »
Il n’existe, en effet, aucune véritable garantie aujourd’hui, estime
Loïc Guézo. Toutefois, ce n’est généralement pas le programme du
Bug Bounty en tant que tel qui en est la cause, mais la trop grande
ouverture de ce dernier. Certains intermédiaires apparaissent,
assurant un filtrage de la qualité des intervenants par exemple, ou
l’orientation des recherches vers les secteurs critiques, afin de ne
pas faire dévier ce Bug Bounty, et quelque part le transformer en
un programme plus classique d’Ethical Hacking, sous contrôle. Il
recommande, en outre, de s’appuyer sur des méthodologies
éprouvées, afin de cadrer la puissance du Bug Bounty. Il faut, de
plus, savoir que se lancer dans un tel programme nécessite une
certaine capacité de prise de recul de manère à ne pas s’exposer
inutilement…
Afin de limiter les risques, Benoît Grunemwald préconise également
de passer par des plateformes de Bug Bounty, comme Bounty Factory
par exemple. Par ce biais, « les chasseurs de failles doivent respecter
les règles de confidentialité et de divulgation du programme de Bug
Bounty imposées par la plateforme, les conditions ayant été acceptées
au moment de leur inscription », conclut-il. « De plus, si une faille est
découverte hors du périmètre défini, le chercheur ne sera pas
récompensé et risque même de perdre des points : un système de
notation est, en effet, fixé sur les sites, permettant aux chercheurs de
faire leur propre publicité », ou pas… ■ ■ ■