Sécurité collaborative : le Bug Bounty n'est que la partie visible

Tandis que des pans entiers de l'économie reposent sur des logiciels, leur bon fonctionnement et leur sécurité sont devenus essentiels. Le bug bounty, à savoir la prime au bug ou à la vulnérabilité, est un élément fondamental de l'amélioration collaborative des plateformes et des applications. Les entreprises sont bien conscientes de l'importance du service qu'elles proposent, sensibilisées aux problématiques de sécurité et au respect des contraintes réglementaires.

Le Bug Bounty s’inscrit dans cette démarche proactive de cybersécurité

Le Bug Bounty consiste à inviter toute personne en mesure de le faire, en l’occurrence des hackers dits éthiques, à se pencher sur un système spécifique pour y déceler des faiblesses, moyennant une récompense qui dépend d’un certain nombre de caractéristiques et principalement de la criticité de la faiblesse identifiée. 

Le caractère critique (et donc la prime) est évalué en fonction de l’impact business attendu si la vulnérabilité est exploitée et pondérée en fonction de la probabilité qu’elle soit effectivement découverte, ainsi que des efforts requis pour y parvenir. Les vulnérabilités les plus recherchées concernent essentiellement celles qui ont l’impact le plus fort sur la sécurité. On relève ainsi parmi ces dernières l'exécution de code à distance, l’injection SQL, l’élévation de privilèges au niveau administrateur, l’injection XML ou encore Références Directes non Sécurisées à un Objet (par exemple l’extrapolation d’un lien internet non public sur la base d’un lien connu).

Dans ce contexte, les bug bounties peuvent se planifier sur des durées déterminées ou indéterminées, être publics ou privés, de manière à ne s’adresser qu’à un nombre restreint de hackers, en fonction de leurs compétences, voire même de la criticité du projet.

En matière de détection de vulnérabilités en contrepartie d’une prime, on distingue ainsi :

  • Le Bug Bounty Challenge : programme court de deux à quatre semaines, ne visant qu’un petit groupe de hackers triés sur le volet notamment pour des projets requérant une forte conformité réglementaire.
  • Le Bug Bounty Continu : le plus souvent un programme au long-cours, public ou privé, pour l’identification de vulnérabilités par toute organisation développant et déployant des actifs logiciels

Si leur nombre et leur valeur a significativement augmenté ces dernières années, les bug bounties ne représentent pourtant qu’un pan de ce que l’on appelle la sécurité collaborative.

Les programmes de Divulgation Coordonnée de Vulnérabilités de sécurité

Car la motivation des hackers éthiques n’est pas uniquement financière. Pour certains, l’ambition est de participer à la sécurisation de l’espace numérique qu’ils considèrent comme un bien commun. L’amélioration des plateformes de service public est particulièrement prisée par ces individus. Pour d’autres, c’est la reconnaissance de leurs pairs qui compte le plus, d’autant qu’elle peut être rapidement corrélée à une visibilité améliorée auprès d’enseignes qui seront d’autant plus désireuses de travailler avec eux que leurs faits d’armes seront reconnus. Un facteur d’employabilité future, en sorte.

D’où l’intérêt des plateformes de divulgation responsable des vulnérabilités, espaces appartenant à l'entreprise ou opérés par un tiers, permettant à ceux qui ont identifié un risque de sécurité d’en alerter l’entreprise, ou l’organisation concernée, de le décrire. 

Cette pratique gagne en popularité mais reste victime de l’approche passéiste de certaines entreprises vis à vis de leur sécurité. D’après un récent rapport, 63% des profils techniques interrogés disent avoir trouvé des failles de sécurité et décidé de ne pas les signaler aux organisations concernées. La première raison, citée par 38% des répondants, est le «langage juridique menaçant» publié sur le site web de ces entités à propos de la découverte de vulnérabilités. L’absence d’un canal évident de signalement (21%) et le manque de réaction aux rapports de bugs précédents (15%) arrivent ensuite.

Le gap culturel existe et tant qu’il persistera, les bénéfices de la sécurité collaborative tarderont à se généraliser.

Le hacker n’est pas un pirate informatique !

Il est donc temps de faire évoluer les mentalités en matière de sécurité logicielle. Cela passe également par une réhabilitation de la figure du “hacker”, souvent confondu avec le pirate informatique, le cybercriminel.

Par une erreur d’association, les deux se sont confondus dans la langue française. Mais en anglais, le terme hacker désigne plutôt un “bricoleur”, un “bidouilleur”, quelqu’un qui détourne un objet de son usage admis. Ainsi, dans le domaine du logiciel, le hacker teste, détourne, recherche des vulnérabilités, informe, dévoile, mais n’utilise pas forcément ses connaissances et ses découvertes à des fins malveillantes.

En effet, au cœur de la sécurité collaborative se trouvent des individus qui, partout dans le monde, portent avec fierté le titre de "hacker". Ils ont grandi dans le monde numérique, souvent en tant que joueurs sur console ou pc, pour devenir ensuite développeurs de logiciels et enfin chercheurs en sécurité. Ils comptent parmi les esprits les plus affûtés en matière de sécurité. Ils ont à coeur la santé et le bien-être de notre société numérique et connectée. Ils s'efforcent sans relâche de déceler les faiblesses des systèmes avant que les criminels ne les découvrent. Accueillir leur contribution équivaut à réduire le cyber-risque.