Actualité web & High tech sur Usine Digitale

Pour blinder votre cybersécurité, défiez (et payez) les hackers sur les plate-formes de Bug Bounty

|
Twitter Facebook Linkedin Google + Email
×

Plutôt que de faire appels à un prestataire privé pour détecter les vulnérabilités dans leur informatique, les entreprises peuvent solliciter la communauté des hackers réunis au sein de plateformes dites de "Bug Bounty" et les rémunérer à la faille découverte.

Pour blinder votre cybersécurité, défiez (et payez) les hackers sur les plate-formes de Bug Bounty
Pour blinder votre cybersécurité, défiez (et payez) les hackers sur les plate-formes de Bug Bounty ©

C'est la nouvelle grande tendance de la cybersécurité : les plate-formes de Bug Bounty ! Même le Pentagone vient d'y succomber en ouvrant au début début mars sa plate-forme baptisée "Hack the Pentagon". Il s'agit de faire appel à la communauté des hackers pour tester sa cybersécurité. Si ceux-ci trouvent des vulnérabilités, ils sont rémunérés en retour. Pour éviter tout dérapage, le Pentagone a défini des règles du jeu claires : les experts et chercheurs en informatique qui souhaitent participer à cette initiative doivent être préalablement inscrits et autorisés à y participer, de nationalité américaine et chercher des failles sur un périmètre informatique et une durée bien définis. D'autres acteurs ont déjà mis en place ce type de plate-forme, de chasse au bug informatique comme Google, Twitter, Facebook, Yahoo !...

 

A lire aussi : Il empoche 15000 dollars en découvrant une faille toute bête de Facebook

 

En Janvier dernier, la première plate-forme européenne de Bug Bounty baptisée Bounty Factory a ouvert ses services. Elle est opérée par la société YesWeHack, elle-même créée en 2013. "A travers ces plate-formes, les entreprises peuvent faire appel en continu à l'intelligence collective des hackers. Pour cela, elles postent un programme et précisent clairement le périmètre informatique qu'elle veut voir tester. Cela peut être une application mobile, un service sur Internet... Cela permet de détecter une vulnérabilité informatique avant qu'elle ne soit exploitée. Demain, il sera également possible de tester des objets connectés, une informatique industrielle...", explique Guillaume Vassault-Houlière PDG de YesWeHack. Selon lui, Bounty Factory fédère aujourd'hui environ 300 hackers et une dizaine de sociétés, qui veulent garder l'anonymat, auraient déjà utilisé ses services. "A terme, la plate-forme pourrait mobiliser plusieurs milliers de hackers", espère son fondateur.

 

chasseurs de primes

Pour attirer les hackers, les plate-formes de Bug Bounty s'appuient sur un système de récompense et de primes. Le niveau des primes est à la discrétion de l'entreprise, souvent en fonction de la criticité de la vulnérabilité trouvée. Ce modèle serait vertueux selon le fondateur... pour ceux qui savent se montrer généreux. Les entreprises pingres peuvent passer leur chemin. Ainsi General Motors qui avait mis en place une telle plate-forme pour debugger sa voiture connectée, ne récompensait pas les hackers estimant que la reconnaissance de leur exploit serait une rémunération suffisante. Résultat : les hackers ont délaissé ce projet. Et offrir des T-Shirts ne suffit pas. Pour les hackers, ces concours sont de véritables sources de revenus : les meilleurs chasseurs de primes gagnent plusieurs dizaines de milliers d'euros à l'année.

 

L'existence de telles plate-formes a entraîné la naissance d'un véritable classement mondial des hackers. Pour chaque vulnérabilité trouvée, ils engrangent des points. Au-delà de l'émulation, cette hiérarchie offre aussi la possibilité aux entreprises de faire appel aux meilleurs d'entre eux pour un projet qui nécessite une certaine confidentialité plutôt que d'ouvrir à tous la problématique. Les hackers indélicats, qui n'auraient pas respecté les règles définies à l'avance, seraient quant à eux sanctionné par des points négatifs voire exclus de la plate-forme.

 

En concurrence avec les prestataires américains, YesWeHack joue la carte de la souveraineté nationale. "Nos serveurs sont hébergés en France par un prestataire français : OVH. Les hackers doivent s'inscrire selon un mécanisme de signature électronique et sont rémunérés via une système de porte monnaie électronique de technologie française", explique Guillaume Vassault-Houlière. La société s'est rapproché du cabinet d'avocats Caprioli & Associés pour s'assurer de la légalité de son offre.

 

SÉduction et inquiétude

Reste que le Bug Bounty inquiète autant qu'il séduit. Si elles sont intéressées par le principe, les entreprises hésitent à poster des projets sur de telles plate-formes, craignant certains dérapages. De nombreuses questions se posent en effet, tant le système repose sur l'éthique du hacker. Et s'il exploitait la faille trouvée pour voler des informations sensibles ou pour la revendre à des organisations criminelles ?

 

Les opérateurs de plate-formes ont des réponses toutes trouvées. Si un système comporte des vulnérabilités, autant qu'elles soient découvertes et corrigées via elles plutôt que par des pirates extérieurs mal intentionnés. Avec le mécanisme des points, des sanctions et des primes, elles font valoir une forme d'autorégulation qui récompense les dénicheurs de vulnérabilités et écartera les hackers indélicats.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale