Attaque DDOS, vol de données, SIM swap… les méthodes utilisées par les hackers sont nombreuses aujourd’hui, et les entreprises doivent redoubler d’efforts poru protéger leurs utilisateurs. Pour s’en prémunir, les startups les plus populaires ainsi que les GAFAM l’ont tous mis en place : le programme de bug bounty est une stratégie qui envoie un message fort au grand public, que leur produit est fiable et ne possède aucune faille… jusqu’à ce que des participants au bug bounty les signalent. On vous explique tout sur ce type de dispositif.
Campagne de bug bounty : définition
Un bug bounty est un programme de récompenses aux bugs, qui consiste à proposer à de nombreux sites Web, organisations et développeurs de logiciels, de solliciter des personnes talentueuses en sécurité informatique, qui reçoivent une reconnaissance et une compensation pour avoir signalé des bugs, en particulier ceux impliquant des vulnérabilités et des exploits de sécurité. Quand on sait que 25% des français sont exposés aux attaques informatiques, le sujet de la sécurité informatique n’a jamais été aussi capital poru les entreprises.
La mise en place d’un bug bounty est un service organisé qui permet aux entreprises de laisser des hackers indépendants tester leurs sites Web ou leurs applications. Ces derniers recherchent les bogues et fournissent à l’entreprise des instructions détaillées sur la manière de les corriger, en échange d’une compensation financière ou de points de classement, en fonction de la plateforme sur laquelle le programme fonctionne.
Le bug bounty : exposer au grand public ses failles, à l’opposé de l’approche Security Through Obscurity (STO)
Les primes aux bugs existent depuis des années et sont utilisées par certaines des plus grandes entreprises du monde, telles que Facebook, Google, Apple et PayPal. Elles sont l’exact opposé d’un mauvais concept de sécurité appelé Security Through Obscurity (STO). Ce concept consiste à s’appuyer sur le secret par la conception ou la mise en œuvre de la sécurité comme principale méthode de protection du système.
Bien qu’il y ait certains avantages à la STO, très appréciés des RSSI, ce n’est pas quelque chose que vous pouvez attendre pour un site Web ou une application entière destinée au public. Si elle se trouve sur Internet, ses vulnérabilités seront découvertes à temps. Les programmes de bug bounty adoptent ici une approche proactive, en invitant les gens à examiner vos systèmes, à trouver les vulnérabilités et à vous signaler les bugs avant que des personnes malveillantes aient la possibilité de les exploiter. De nombreuses entreprises mettent en œuvre ce programme avant le lancement d’un produit afin de résoudre les problèmes de sécurité en suspens avant la sortie du produit.
En résumé, les bug bounties sont des programmes de crowdsourcing qui récompensent des chercheurs indépendants expérimentés pour avoir identifié et signalé des bogues ou des vulnérabilités dans des technologies et des logiciels. Par exemple, en 2014, Archon Secure est devenue la première société de sécurité mobile à lancer un programme de primes aux bugs en annonçant qu’elle verserait des primes pour toute vulnérabilité découverte sur ses appareils Blackphone.