Qu’est-ce que les chasseurs Bug Bounty ?
Imaginez une entreprise SaaS mondialement reconnue qui invite des étrangers à pirater ses sites Web ou ses logiciels.
Cela peut paraître fou, mais c’est exactement ce que font aujourd’hui certains géants de l’industrie tels que Microsoft, Facebook et Walmart. Leur but est de trouver les failles de sécurité critiques et celles qui sont susceptibles d’être exploitées par des cybercriminels.
Ces étrangers sont appelés chasseurs de primes Bug Bounty. Des pirates en chapeau blanc qui utilisent leurs compétences en matière piratage et en informatique, de manière à ce qu’elles profitent aux organisations.
Des entreprises telles que Google versent régulièrement des primes pour la découverte de vulnérabilités. Dans la plupart des cas, ces primes prennent la forme de récompenses monétaires dont le montant se situe généralement entre 200$ et 5 000$.
Parfois, les récompenses peuvent se présenter sous la forme de titres honoraires du genre « Hall of fame » ou être des choses fournies gratuitement.
Les primes peuvent être forfaitaires ou varier en fonction de la gravité de la vulnérabilité découverte. Et parfois, elles peuvent devenir assez substantielles. En 2012, Microsoft a par exemple décerné à un étudiant en doctorat de l’Université Columbia une récompense de 200 000$, tandis qu’United Airlines a accordé un million de milles de crédit de vol à chacun des deux traqueurs de bugs qu’il a engagé.
Netscape a mis en œuvre cette pratique pour la première fois il y a 21 ans, en 1995, pour le lancement des versions bêta de Netscape Navigator 2.0 via lesquelles les traqueurs de bugs recevaient de l’argent comptant et des crédits officiels pour la découverte d’erreurs.
Dans les années qui ont suivi, d’autres marques comme Mozilla ont mis en œuvre leurs propres programmes, mais cette pratique n’a pas fonctionné tant que Google n’a pas adapté l’approche de son navigateur Chrome en 2010. Depuis, Google a élargi son programme et a accordé neuf millions de dollars pour payer des chasseurs de primes Bug Bounty.
Un exemple typique d’une faille détectée par les traqueurs de bugs a été illustré dans une découverte récente d’une vulnérabilité critique trouvée dans Facebook.
Lorsqu’un compte Facebook est réinitialisé, un code PIN à 6 chiffres est envoyé au téléphone du titulaire du compte. Celui-ci doit le saisir pour déverrouiller son compte. Facebook n’autorise qu’un certain nombre de tentatives pour entrer le bon code PIN, sinon il verrouille le compte.
Un chercheur en sécurité nommé Anand Prakash a constaté que cette fonctionnalité était absente sur son site bêta. En effet, Facebook héberge une version bêta de son site (beta.facebook.com) dans laquelle de nouvelles fonctionnalités sont introduites à titre d’essai.
Anand a découvert qu’il pouvait deviner à l’infini le code PIN, ce qui lui permettait d’accéder à n’importe quel compte. Après avoir établi ses conclusions, Facebook lui a accordé 15 000$.
Pourquoi les programmes Bug Bounty sont-ils si populaires ?
La prémisse derrière les programmes Bug Bounty est simple.
Chaque application web peut présenter de bugs, quel que soit leurs types, ce qui pourrait l’exposer aux attaques cybercriminelles. Mieux vaut donc les faire découvrir par un pirate éthique plutôt que par une personne aux intentions malveillantes.
Bien que les grandes entreprises puissent tenter de réaliser ce processus en interne, elles peuvent aussi intégrer les efforts d’autres professionnels qu’elles ne pourraient jamais en embaucher par le biais d’invitations à la prime au Bug Bounty.
Ainsi, ces entreprises peuvent bénéficier de la grande expérience et compétence des chasseurs de primes. De plus, les traqueurs de bugs sont bien plus en phase avec les dernières techniques et outils de piratage. Plus il y a d’yeux qui scannent un site internet, meilleurs sont donc les résultats.
Il y a aussi un autre gros avantage financier pour les entreprises qui émettent des primes dans le cadre d’un programme Bug Bounty. Payer quelques milliers de dollars pour la découverte d’une vulnérabilité critique peut être beaucoup moins coûteux que de supporter les nombreux coûts associés aux conséquences d’une atteinte à la protection de données.
Cependant, il ne s’agit pas seulement d’éviter les dégâts liés à la divulgation des informations sensibles. Les coûts des éventuels litiges suite à une brèche rendent également les programmes de primes Bug Bounty si populaires.
La méthode traditionnelle d’analyse de vulnérabilité consiste à faire faire un test d’intrusion par une entreprise de cybersécurité tierce. Ces tests sont effectués en vertu d’un contrat officiel, habituellement sur la base d’un tarif horaire.
Le problème est que, si un test confirme un certificat de bonne santé – ce qui est certainement une bonne nouvelle — ou, au pire, ne trouve qu’une ou deux vulnérabilités, le client est toujours facturé de la même façon.
En d’autres termes, le montant du règlement ne dépend pas du fait qu’il s’agisse d’un défaut mineur ou d’une série de vulnérabilités critiques. Par contre, en utilisant les primes Bug Bounty, la compagnie ne paie que pour les défauts, et c’est tout.
En 2016, le ministère américain de la Défense a annoncé un programme de primes Bug Bounty pour une période de trente jours. Les participants au programme ont dû passer un test de base rigoureux et signer un certain nombre de documents juridiques concernant le protocole à suivre.
En fin de compte, 250 chercheurs ont participé à l’étude et ont découvert 138 failles dans la cyberinfrastructure du ministère de la Défense. Le montant total des prestations s’élevait à plus de 150 000$. En considérant qu’un test d’intrusion formel de cette ampleur aurait coûté plus d’un million de dollars, la Défense en a certainement eu pour son argent.
Gestionnaires de programme Bug Bounty
L’implémentation d’un programme de primes Bug Bounty n’est pas à la portée de tout le monde.
Seules les plus grandes entreprises disposent des ressources internes à consacrer pour lancer ce type d’activité et pour pouvoir la gérer efficacement.
De plus, il y a toujours un risque à travailler avec des étrangers dans le monde entier, lesquels peuvent participer à un tel programme pour des raisons malveillantes.
Par ailleurs, il faut beaucoup d’expérience pour analyser le rapport signal/bruit (une notion importante permettant d’évaluer la qualité d’un produit), car les entreprises peuvent être submergées par les soumissions de pirates amateurs à la recherche d’un paiement rapide.
Pour cette raison, de nombreuses organisations embauchent des entreprises tierces spécialisées dans l’exécution d’un programme Bug Bounty. Celles-ci savent comment vérifier la fiabilité des participants et peuvent analyser le rapport signal/bruit pour obtenir des résultats aussi efficacement que possible. À noter que certaines de ces entreprises génèrent des millions de dollars en guise de primes qu’elles distribuent ensuite avec les entreprises tierces spécialisées.
Un nombre croissant d’entreprises encouragent les chercheurs à disséquer leurs logiciels pour trouver des fissures dans les armures. Beaucoup plus de vulnérabilités peuvent ainsi être découvertes et corrigées, et les utilisateurs sont plus en sécurité.
Vous voulez vous être au courant de toutes les dernières menaces à la cybersécurité ? Inscrivez-vous aux newsletters de TitanHQ.