Seul un hacker peut penser comme un hacker. Ainsi, lorsqu’il s’agit de devenir «à l’épreuve des pirates», vous devrez peut-être vous tourner vers un pirate informatique.
La sécurité des applications a toujours été un sujet brûlant qui n’a fait que s’étoffer avec le temps.
Même avec une horde d’outils et de pratiques défensives à notre disposition (pare-feu, SSL, cryptographie asymétrique, etc.), aucune application Web ne peut prétendre être sécurisée hors de portée des pirates.
Pourquoi donc?
La simple raison est que la création de logiciels reste un processus très complexe et fragile. Il existe encore des bogues (connus et inconnus) à l’intérieur de la fondation que les développeurs utilisent, et de nouveaux sont créés avec le lancement de nouveaux logiciels et bibliothèques. Même les entreprises technologiques de premier plan sont prêtes à être parfois embarrassées, et pour une bonne raison.
Table des matières
Nous embauchons . . . Hackers !
Étant donné que les bogues et les vulnérabilités ne quitteront probablement jamais le domaine du logiciel, où cela laisse-t-il les entreprises dépendantes de ce logiciel pour survivre ? Comment, par exemple, une nouvelle application de portefeuille peut-elle être sûre qu’elle résistera aux tentatives malveillantes des pirates ?
Oui, vous l’avez déjà deviné : en engageant des hackers pour venir essayer cette nouvelle application ! Et pourquoi le feraient-ils ? Juste parce qu’il y a une prime assez importante à offrir – la prime aux insectes ! 🙂
Si le mot « bounty » évoque des souvenirs du Far West et des balles tirées sans relâche, c’est exactement ce que l’idée est ici. Vous obtenez en quelque sorte les pirates les plus élitistes et les plus compétents (experts en sécurité) pour sonder votre application, et s’ils trouvent quelque chose, ils sont récompensés.
Il y a deux façons de procéder : 1) héberger une prime de bogue par vous-même ; 2) en utilisant une plateforme de bug bounty.
Bug Bounty : auto-hébergé vs plateformes
Pourquoi vous donner la peine de sélectionner (et de payer) une plate-forme de primes de bogues alors que vous pouvez simplement l’héberger par vous-même. Je veux dire, créez simplement une page avec les détails pertinents et faites du bruit sur les réseaux sociaux. Cela ne peut évidemment pas échouer, n’est-ce pas?
Hacker n’est pas convaincu !
Eh bien, c’est une bonne idée là, mais regardez-la du point de vue du pirate informatique. Se battre pour les bogues n’est pas une tâche facile, car cela nécessite plusieurs années de formation, une connaissance pratiquement illimitée des choses anciennes et nouvelles, des tonnes de détermination et plus de créativité que la plupart des « concepteurs visuels » (désolé, je n’ai pas pu résister à celui-là ! :-P).
Le pirate ne sait pas qui vous êtes ou n’est pas sûr que vous paierez. Ou peut-être n’est-il pas motivé. Les primes auto-hébergées fonctionnent pour des mastodontes comme Google, Apple, Facebook, etc., dont les gens peuvent mettre les noms sur leur portefeuille avec fierté. « Trouvé une vulnérabilité de connexion critique dans l’application HRMS développée par XYZ Tech Systems » ne semble pas impressionnant, n’est-ce pas (avec nos excuses à toute entreprise qui pourrait ressembler à ce nom !) ?
Ensuite, il y a d’autres raisons pratiques (et accablantes) pour ne pas aller en solo en ce qui concerne les primes de bogues.
Manque d’infrastructures
Les « hackers » dont nous avons parlé ne sont pas ceux qui traquent le Dark Web.
Ceux-là n’ont ni le temps ni la patience pour notre monde « civilisé ». Au lieu de cela, nous parlons ici de chercheurs issus d’une formation en informatique qui sont soit dans une université, soit qui ont longtemps été des chasseurs de primes. Ces gens veulent et soumettent des informations dans un format spécifique, ce qui est une douleur en soi pour s’y habituer.
Même vos meilleurs développeurs auront du mal à suivre, et le coût d’opportunité pourrait s’avérer trop élevé.
Résolution des soumissions
Enfin, il y a la question de la preuve. Le logiciel peut être construit sur des règles entièrement déterministes, mais le moment exact où une exigence particulière est satisfaite fait l’objet d’un débat. Prenons un exemple pour mieux comprendre cela.
Supposons que vous ayez créé une prime de bogue pour les erreurs d’authentification et d’autorisation. Autrement dit, vous prétendez que votre système est exempt de risques d’usurpation d’identité, que les pirates doivent subvertir.
Maintenant, le pirate a trouvé une faiblesse basée sur le fonctionnement d’un navigateur particulier, ce qui lui permet de voler le jeton de session d’un utilisateur et de se faire passer pour lui.
Est-ce une constatation valable?
Du point de vue du pirate informatique, une brèche est définitivement une brèche. De votre point de vue, peut-être pas, car soit vous pensez que cela relève de la responsabilité de l’utilisateur, soit que le navigateur n’est tout simplement pas une préoccupation pour votre marché cible.
Si tout ce drame se produisait sur une plate-forme de primes de bogues, il y aurait des arbitres capables de décider de l’impact de la découverte et de résoudre le problème.
Cela dit, examinons certaines des plates-formes populaires de primes de bogues.
YesWeHack
YesWeHack est une plate-forme mondiale de primes de bogues qui offre la divulgation des vulnérabilités et une sécurité participative dans de nombreux pays tels que la France, l’Allemagne, la Suisse et Singapour. Il fournit une solution disruptive de Bug Bounty pour faire face aux menaces croissantes avec l’augmentation de l’agilité de l’entreprise là où les outils traditionnels ne répondent plus aux attentes.
YesWeHack vous permet d’accéder au pool virtuel de hackers éthiques et de maximiser les capacités de test. Sélectionnez les chasseurs que vous voulez et soumettez les portées à tester ou partagez-les avec la communauté YesWeHack. Il suit des réglementations et des normes strictes pour protéger les intérêts des chasseurs ainsi que les vôtres.
Améliorez la sécurité de votre application en tirant parti de la réactivité du chasseur et réduisez le temps de correction et de détection des vulnérabilités. Vous pourrez voir la différence une fois que vous lancerez le programme.
Open Bug Bounty
Payez-vous trop cher pour les programmes de primes de bogues ?
Essayer Open Bug Bounty pour les tests de sécurité des foules.
Il s’agit d’une plate-forme de primes de bogues communautaire, ouverte, gratuite et désintermédiée. De plus, il offre une divulgation responsable et coordonnée des vulnérabilités compatible avec la norme ISO 29147. À ce jour, il a aidé à corriger plus de 641 000 vulnérabilités.
Des chercheurs et des professionnels de la sécurité de sites de premier plan tels que WikiHow, Twitter, Verizon, IKEA, MIT, l’Université de Berkeley, Philips, Yamaha, etc. ont utilisé la plateforme Open Bug Bounty pour résoudre leurs problèmes de sécurité tels que les vulnérabilités XSS, les injections SQL, etc. Vous pouvez trouver des professionnels très compétents et réactifs pour faire votre travail rapidement.
Hackérone
Parmi les programmes de primes aux bogues, Hackérone est le leader lorsqu’il s’agit d’accéder aux pirates informatiques, de créer vos programmes de primes, de passer le mot et d’évaluer les contributions.
Vous pouvez utiliser Hackerone de deux manières : utilisez la plate-forme pour collecter des rapports de vulnérabilité et les résoudre vous-même ou laissez les experts de Hackerone faire le travail difficile (triage). Le triage consiste simplement à compiler des rapports de vulnérabilité, à les vérifier et à communiquer avec les pirates.
Hackerone est utilisé par de grands noms comme Google Play, PayPal, GitHub, Starbucks, etc., donc bien sûr, c’est pour ceux qui ont des bugs graves et des poches sérieuses. 😉
Foule d’insectes
Foule d’insectes propose plusieurs solutions d’évaluation de la sécurité, l’une d’entre elles étant Bug Bounty. Il fournit une solution SaaS qui s’intègre facilement dans le cycle de vie de votre logiciel existant et facilite l’exécution d’un programme de primes de bogues réussi.
Vous pouvez choisir d’avoir un programme privé de primes de bogues qui implique quelques hackers sélectionnés ou un programme public qui rassemble des milliers de personnes.
SafeHats
Si vous êtes une entreprise et que vous ne vous sentez pas à l’aise de rendre public votre programme de primes de bogues — et que vous avez en même temps besoin de plus d’attention que ce qui peut être offert par une plate-forme de primes de bogues typique — SafeHats est votre pari le plus sûr (terrible jeu de mots, hein ?).
Conseiller en sécurité dédié, profils de pirates approfondis, participation sur invitation uniquement – tout est fourni en fonction de vos besoins et de la maturité de votre modèle de sécurité.
Intigriti
Intigriti est une plate-forme complète de primes de bogues qui vous connecte avec des pirates informatiques, que vous souhaitiez exécuter un programme privé ou public.
Pour les pirates, il y a plein de primes attraper. Selon la taille et le secteur d’activité de l’entreprise, des chasses aux bogues allant de 1 000 € à 20 000 € sont disponibles.
Synack
Synack semble être l’une de ces exceptions du marché qui brisent le moule et finissent par faire quelque chose d’énorme. Leur programme de sécurité Pirater le Pentagone a été le point culminant majeur, conduisant à la découverte de plusieurs vulnérabilités critiques.
Donc, si vous recherchez non seulement la découverte de bogues, mais également des conseils et une formation en matière de sécurité au plus haut niveau, Synack est la voie à suivre.
Conclusion
Tout comme vous restez à l’écart des guérisseurs qui proclament des «remèdes miracles», veuillez rester à l’écart de tout site Web ou service qui dit qu’une sécurité à toute épreuve est possible. Tout ce que nous pouvons faire, c’est faire un pas de plus vers l’idéal. En tant que tels, les programmes de primes de bogues ne devraient pas produire des applications sans bogue, mais devraient être considérés comme une stratégie essentielle pour éliminer les plus méchants.
Regarde ça cours de chasse aux bug bounty pour apprendre et gagner la renommée, les récompenses et l’appréciation.
Découvrez les plus grands programmes de primes de bugs au monde.
J’espère que vous écraserez beaucoup d’entre eux ! 🙂