Bug Bounty, le marché de la sécurité "crowdsourcée" s'organise

Bug Bounty, le marché de la sécurité "crowdsourcée" s'organise Pratiqué par les entreprises de la Tech, le Bug Bounty reste le parent pauvre de l'audit de sécurité. Mais les choses changent sous l'impulsion de plateformes qui entendent fédérer les hackers blancs et servir d'intermédiaires.

La chasse aux failles de sécurité baptisée Bug Bounty, a été inventée par Nestcape en 1995. L'éditeur de Netscape Navigator offrait une récompense à toute personne lui signalant une faille de sécurité dans la version 2.0 de son navigateur. Le Bug Bounty présente l'avantage d'être bon marché, d'offrir un service en continu et de s'appuyer sur l'inventivité et les compétences de centaines voire de milliers de chercheurs. Il vient en complément des traditionnels audits, effectués en interne, ou par des entreprises spécialisées dans la sécurité informatique.

Tesla, Microsoft, Facebook ou Google tire parti du Bug Bounty

Le coût du Bug Bounty est dérisoire comparé à celui des audits, car les récompenses sont majoritairement de quelques centaines voire quelques milliers d'euros.

Aujourd'hui, le marché du Bug Bounty se scinde en deux approches, publique et privée. Le modèle public est celui dans lequel l'entreprise cliente fait appel à toute personne intéressée via un appel sur Internet. Sur ce terrain, les initiatives les plus récentes ont par exemple été lancées par Tesla pour hacker ses voitures connectées en 2015, ou encore par le Département de la Défense des États-Unis - via un programme de mise à l'épreuve de sa cybersécurité en mars dernier. Certains grands acteurs proposent des programmes de Bug Bounty permanents comme Microsoft, Facebook, ou encore Google (via son programme Vulnerability Reward).

Un modèle de récompense basé sur les résultats

Le modèle privé du Bug Bounty repose sur un contrat entre une entreprise intermédiaire et ses clients. C'est ce modèle qui émerge actuellement, car il présente quelques garanties, aussi bien pour les clients que pour les chasseurs de failles. Des start-up se sont lancées ces dernières années avec pour but de servir d'intermédiaires entre chasseurs de failles et clients potentiels.

En France, trois sociétés se sont positionnées sur ce créneau avec des modèles sensiblement équivalents : Yogosha, Bounty Factory et Bug Bounty Zone. Ces acteurs se donnent pour mission de fédérer des groupes de hackers, préalablement approuvés, appelés hackers blancs ou hackers éthiques, en vue de les mettre en relation avec des entreprises désireuses de combler leurs failles de sécurité. Cette intermédiation, certains diraient ubérisation, permet ainsi une mise en relation avec des chercheurs triés sur le volet.

Bug Bounty Zone : une société française ayant lancé une offre de Bug Bounty. © Capture JDN

En aval, les hackers testent la sécurité des systèmes et applications des clients, puis transmettent rapports et recommandations. En général, il s'agit de répondre à des demandes ponctuelles et sur des périmètres limités, avec un modèle de rétribution dépendant du type de vulnérabilité et de sa gravité. Les chercheurs sont récompensés seulement si la vulnérabilité est avérée et présente un impact sur la sécurité. Selon l'importance de la faille et sa criticité, les rétributions peuvent aller de quelques centaines à plusieurs centaines de milliers d'euros. Dans les cas les moins graves, la rétribution peut être un cadeau, mais aussi s'accompagner de Bounty - sortes de bons points qui augmentent la réputation du hacker blanc.

Un marché qui intéresse de plus en plus de monde

A l'heure de la transformation digitale, le Bug Bounty est une aubaine pour les entreprises. Soumises à la dictature du time-to-market, qui les incite à développer et déployer leurs applications de plus en plus vite, elles n'ont pas le temps d'effectuer des tests de sécurité exhaustifs.

Les éditeurs d'applications et les entreprises du web tirent la croissance du Bug Bounty

D'après une étude publiée par Bugcrow (une plateforme communautaire de Bug Bounty états-unienne) de plus en plus d'entreprises font appel au Bug Bounty. Les éditeurs d'applications sont les plus nombreux à y recourir, suivis par les entreprises du web (et notamment d'e-commerce),  les entreprises de services du numérique (pour le compte de leurs clients), puis les services financiers. Selon la même étude, le marché de l'IoT est aussi un des moteurs du marché du Bug Bounty.

Des start-up qui veulent développer le Bug Bouty en France

En France, Yogosha, Bounty Factory et Bug Bounty Zone ont fait le choix de modèles économiques différents. Alors que Yogosha et Bug Bounty Zone proposent des contrats de type privé, Bounty Factory est un agrégateur d'offres de Bug Bounty publiques et privées. Il fait partie du portail de Bug Bounty Yes We Hack, qui regroupe Firebounty, un site qui liste des offres publiques, et Yes We Hack Jobs, qui propose des offres d'emploi dans la sécurité.

Start-up française positionnée dans le Bug Bounty, Yogosha a été lauréate des Grands Prix de l'innovation de la ville de Paris en 2016, dans la catégorie Services aux entreprises. © Capture JDN

Pour faire partie des pools de hackers de Yogosha, Bounty Factory et Bug Bounty Zone, l'inscription suppose l'acceptation de règles et le respect d'une stricte confidentialité. Cependant, l'inscription sur Yogosha et Bounty Zone, nécessite l'obtention d'un code d'invitation qui implique de remplir un questionnaire. Une formalité qui permet à ces start-up de faire un premier tri parmi les candidats. Une fois intégré au pool, le hacker peut être choisi par les clients en fonction de compétences précises et d'un système de notation dépendant de ses performances passées.

Des contrats stricts aux clauses limitatives pour protéger les clients

Concernant Bounty Factory, l'inscription se fait sous la forme d'une soumission de vulnérabilité. Le hacker doit ainsi faire ses preuves avant d'être admis à consulter les offres privées de Bug Bounty. Les relations des plateformes de Bug Bounty avec leurs clients sont régies par des contrats stricts aux clauses limitatives, que doivent ratifier tous les experts affiliés. L'idée étant évidemment d'encadrer la recherche de faille – certaines pratiques étant prohibées (type attaque par DDoS, ou actions engendrant la perturbation du service). Il s'agit d'instaurer une relation de confiance entre les entreprises clientes et les chercheurs. 

Annonces Google