Uniquement un expert en piratage peut anticiper les méthodes d’un autre expert en piratage. Ainsi, pour rendre vos systèmes réellement imperméables aux attaques, il pourrait être judicieux de faire appel à un spécialiste en cybersécurité.
La protection des applications est une préoccupation constante, qui n’a cessé de prendre de l’ampleur avec l’évolution des technologies.
Malgré l’abondance d’outils et de stratégies défensives disponibles (pare-feu, SSL, cryptographie asymétrique, etc.), aucune application web ne peut se déclarer totalement à l’abri des intrusions malveillantes.
Pourquoi cette situation?
La raison fondamentale réside dans la complexité et la fragilité intrinsèques du processus de création de logiciels. Des failles, tant connues qu’inconnues, persistent dans les fondations utilisées par les développeurs, et de nouvelles apparaissent constamment avec le déploiement de nouveaux programmes et bibliothèques. Même les géants de la technologie se retrouvent parfois dans des situations embarrassantes, et à juste titre.
Nous recrutons… des Hackers !
Étant donné que les erreurs et les vulnérabilités sont une composante permanente du monde logiciel, quelle solution pour les entreprises qui dépendent de ces logiciels pour leur activité ? Comment, par exemple, une toute nouvelle application de portefeuille numérique peut-elle s’assurer de sa résistance aux assauts de pirates motivés ?
La réponse est simple : en engageant des experts en sécurité pour mettre cette nouvelle application à l’épreuve ! Et pourquoi le feraient-ils ? Principalement parce qu’une récompense significative est offerte : la prime aux bogues ! 🙂
Si le terme « prime » évoque des images de l’Ouest sauvage et de fusillades incessantes, l’idée sous-jacente est similaire. Il s’agit d’inciter les spécialistes en sécurité les plus compétents à examiner attentivement votre application, et en cas de découverte de faille, ils reçoivent une compensation.
Il existe deux approches principales : 1) gérer soi-même une campagne de primes aux bogues ; 2) utiliser une plateforme spécialisée dans les primes aux bogues.
Primes aux bogues : gestion interne ou plateforme spécialisée ?
Pourquoi se donner la peine de sélectionner (et de rémunérer) une plateforme de primes aux bogues alors que l’on pourrait simplement la gérer en interne ? Il suffirait de créer une page avec les informations pertinentes et d’en faire la promotion sur les réseaux sociaux. Cela devrait fonctionner, n’est-ce pas ?
Un hacker ne serait pas de cet avis !
Bien que cette idée puisse sembler attrayante, il est important de se placer du point de vue d’un expert en sécurité. La chasse aux bogues n’est pas une mince affaire, elle nécessite des années d’apprentissage, une connaissance approfondie des technologies anciennes et nouvelles, une grande détermination et une créativité supérieure à celle de la plupart des « designers visuels » (désolé, je n’ai pas pu résister ! :-P).
Le hacker ne vous connaît pas, il n’a aucune garantie que vous paierez, et sa motivation pourrait être faible. Les primes gérées en interne sont efficaces pour les géants tels que Google, Apple, Facebook, etc., dont la mention sur un CV est une source de fierté. « Découverte d’une vulnérabilité critique dans l’application RH développée par XYZ Tech Systems » semble moins prestigieux, n’est-ce pas (nos excuses à toute entreprise qui ressemblerait à ce nom !)?
De plus, il existe d’autres raisons pratiques (et impérieuses) pour éviter de gérer seul les primes aux bogues.
Manque d’infrastructure
Les « hackers » dont il est question ici ne sont pas ceux qui évoluent sur le Dark Web.
Ces derniers n’ont ni le temps ni la patience pour notre monde « civilisé ». Il s’agit plutôt de chercheurs ayant une formation en informatique, soit en milieu universitaire, soit ayant une longue expérience de la chasse aux primes. Ces experts ont des exigences spécifiques quant au format de soumission des informations, ce qui peut être une tâche ardue en soi.
Même vos meilleurs développeurs auront du mal à suivre, et le coût d’opportunité pourrait s’avérer trop élevé.
Gestion des soumissions
Enfin, se pose la question de la validation. Le logiciel peut être fondé sur des règles parfaitement déterministes, mais le moment précis où une exigence particulière est satisfaite peut être sujet à débat. Un exemple permettra de mieux comprendre.
Supposons que vous ayez lancé une prime pour les erreurs d’authentification et d’autorisation. Vous affirmez que votre système est protégé contre l’usurpation d’identité, que les pirates doivent contourner.
Un hacker découvre une faiblesse liée au fonctionnement d’un navigateur spécifique, lui permettant de voler le jeton de session d’un utilisateur et de se faire passer pour lui.
Cette découverte est-elle valable ?
Du point de vue du hacker, il s’agit indéniablement d’une faille. De votre point de vue, peut-être pas, car vous estimez que cela relève de la responsabilité de l’utilisateur ou que ce navigateur n’est pas pertinent pour votre marché cible.
Si ce genre de situation se produisait sur une plateforme de primes aux bogues, des arbitres seraient en mesure d’évaluer l’impact de la découverte et de trancher le différend.
Cela étant dit, examinons certaines des plateformes de primes aux bogues les plus populaires.
YesWeHack
YesWeHack est une plateforme mondiale de primes aux bogues qui propose la divulgation de vulnérabilités et une sécurité participative dans de nombreux pays, dont la France, l’Allemagne, la Suisse et Singapour. Elle fournit une solution innovante de bug bounty pour faire face aux menaces grandissantes, avec l’augmentation de l’agilité des entreprises là où les outils traditionnels ne répondent plus aux attentes.
YesWeHack vous donne accès à un groupe virtuel de hackers éthiques et maximise vos capacités de test. Choisissez les experts que vous souhaitez et soumettez les domaines à tester, ou partagez-les avec la communauté YesWeHack. La plateforme respecte des règles et des normes strictes pour protéger les intérêts des chercheurs et les vôtres.
Améliorez la sécurité de votre application en tirant parti de la réactivité des chasseurs de primes et réduisez le délai de correction et de détection des vulnérabilités. Vous constaterez la différence dès que vous lancerez le programme.
Open Bug Bounty
Dépensez-vous trop d’argent pour les programmes de primes aux bogues ?
Essayez Open Bug Bounty pour le test de sécurité par la foule.
Il s’agit d’une plateforme communautaire de primes aux bogues, ouverte, gratuite et sans intermédiaire. De plus, elle offre une divulgation responsable et coordonnée des vulnérabilités, conforme à la norme ISO 29147. À ce jour, elle a aidé à corriger plus de 641 000 vulnérabilités.
Des chercheurs et des professionnels de la sécurité de sites de premier plan tels que WikiHow, Twitter, Verizon, IKEA, MIT, l’Université de Berkeley, Philips, Yamaha, etc., ont utilisé la plateforme Open Bug Bounty pour résoudre leurs problèmes de sécurité, tels que les vulnérabilités XSS, les injections SQL, etc. Vous pouvez y trouver des experts très compétents et réactifs pour effectuer votre travail rapidement.
HackerOne
Parmi les programmes de primes aux bogues, HackerOne est le leader en matière d’accès aux hackers, de création de vos programmes de primes, de diffusion de l’information et d’évaluation des contributions.
Vous pouvez utiliser HackerOne de deux façons : utiliser la plateforme pour recueillir les rapports de vulnérabilité et les résoudre vous-même, ou laisser les experts de HackerOne se charger du travail difficile (le triage). Le triage consiste simplement à compiler les rapports de vulnérabilité, à les vérifier et à communiquer avec les hackers.
HackerOne est utilisé par de grandes entreprises telles que Google Play, PayPal, GitHub, Starbucks, etc. C’est donc une solution idéale pour ceux qui ont des bogues graves et les moyens de les traiter. 😉
Bugcrowd
Bugcrowd propose plusieurs solutions d’évaluation de la sécurité, dont le programme de primes aux bogues. La plateforme fournit une solution SaaS qui s’intègre aisément dans votre cycle de vie logiciel existant et facilite la gestion d’un programme de primes aux bogues réussi.
Vous pouvez choisir d’organiser un programme de primes aux bogues privé, impliquant un nombre restreint de hackers sélectionnés, ou un programme public qui attire des milliers de participants.
SafeHats
Si vous êtes une entreprise qui préfère ne pas rendre public son programme de primes aux bogues — tout en ayant besoin de plus d’attention que ce que peut offrir une plateforme de primes aux bogues classique — SafeHats est votre meilleure option (jeu de mots douteux, n’est-ce pas ?).
Un conseiller en sécurité dédié, des profils de hackers détaillés, une participation sur invitation uniquement : tout est mis en place en fonction de vos besoins et de la maturité de votre modèle de sécurité.
Intigriti
Intigriti est une plateforme complète de primes aux bogues qui vous met en relation avec des experts en cybersécurité, que vous souhaitiez organiser un programme privé ou public.
Pour les hackers, de nombreuses primes sont disponibles. En fonction de la taille et du secteur d’activité de l’entreprise, les récompenses peuvent varier de 1 000 € à 20 000 €.
Synack
Synack semble être l’une de ces exceptions du marché qui brisent les codes et finissent par réaliser quelque chose de grand. Leur programme de sécurité Pirater le Pentagone a été un tournant majeur, conduisant à la découverte de nombreuses vulnérabilités critiques.
Ainsi, si vous recherchez non seulement la détection de bogues, mais également des conseils et une formation en matière de sécurité au plus haut niveau, Synack est la solution à envisager.
Conclusion
Tout comme il convient de se méfier des « guérisseurs miracles », il est prudent de se tenir à distance de tout site web ou service qui promet une sécurité infaillible. Tout ce que nous pouvons faire, c’est progresser vers cet idéal. Les programmes de primes aux bogues ne doivent pas être perçus comme des moyens de créer des applications sans erreurs, mais plutôt comme une stratégie indispensable pour éliminer les failles les plus graves.
Jetez un œil à ce cours de chasse aux bogues pour apprendre et gagner en renommée, récompenses et reconnaissance.
Découvrez les plus grands programmes de primes aux bogues du monde.
En espérant que vous en dénicherez beaucoup ! 🙂