Facebook, Google et Apple offrant des millions pour inciter les hackers ‘white hat’ à trouver leurs défauts.

En 2013, un article inhabituel est apparu sur la page Facebook de Mark Zuckerberg. C’était d’un utilisateur appelé Khalil Shreateh.

« Cher Mark Zuckerberg, » écrivait Shreateh, « Désolé de ne pas avoir respecté votre vie privée, je n’avais pas d’autre choix à faire que de pirater Facebook après tous les rapports que j’ai envoyés sur Facebook. »

Shreateh, un chercheur en sécurité de Palestine, avait découvert un bug critique dans le logiciel de Facebook qui permettait à n’importe qui de publier directement sur le mur de n’importe quel utilisateur. Après avoir été ignoré par l’équipe de sécurité de l’entreprise, il a pris l’approche directe pour démontrer le bug en piratant la propre page de Mark Zuckerberg. Alors que l’incident a montré les difficultés d’obtenir des reconnaissances, Facebook est depuis devenu un pionnier dans le domaine grandissant des programmes «bounty bug».

Les primes de bugs paient des pirates indépendants pour trouver des failles dans les logiciels et les récompenses potentielles ne font qu’augmenter.

Bien que certaines industries restent méfiant à l’égard des soi-disant «hackers du chapeau blanc», les primes aux bugs offrent aux entreprises un moyen de récompenser les pigistes, d’examiner leurs recherches et de traiter le problème en toute sécurité. Au sein des entreprises, on se rend de plus en plus compte que penser comme un attaquant est la meilleure défense contre un véritable hack et beaucoup sont de plus en plus ouverts à les inviter à tester leurs systèmes.

«Dans certains cas, les chercheurs se heurtaient à un mur de briques pour essayer de faire ce qu’il fallait», explique James Chappell, directeur de la technologie chez Digital Shadows, une entreprise britannique spécialisée dans la cybersécurité.

Les bounties de bugs sont presque aussi anciennes qu’Internet et peuvent être rattachées à Netscape en 1995. Chez Netscape, les ingénieurs ont proposé aux cadres le « Programme Bounty Bugs de Netscape », offrant de récompenser la petite armée de fans de Netscape publiant des mises à jour et des recommandations suite à des problèmes avec son navigateur.

Mais ce n’est que récemment que les géants de la technologie ont commencé à budgétiser des millions de dollars à payer pour être piraté. Facebook a reçu 12 000 soumissions de chercheurs en 2017, pour un montant de 880 000 $. La société a maintenant versé un total de 6,3 millions de $ aux pirates depuis le début de son programme en 2011.

La récompense moyenne a également augmenté, passant de 1 675 $ US à 1 900 $ US. Bien que ce ne soit rien pour l’entreprise, ce n’est pas un petit changement pour un pigiste et cela peut aider à éviter les bugs embarrassants que l’équipe interne pourrait manquer.

Google a également considérablement élargi son programme de primes de bugs. Google et Facebook sont exceptionnellement ouverts sur le travail de leur communauté de piratage, dans un monde où de nombreux piratages de données sont dissimulées à la hâte.

Depuis 2010, Google a versé 12 millions de dollars de récompense aux pirates informatiques, soit 2,7 millions de dollars en 2017. Sa plus grande récompense en 2017 a été de 112 500 dollars US pour quelqu’un qui a piraté son smartphone Pixel. Après les récents bugs de Spectre et Meltdown dans ses puces, Intel a également élevé ses récompenses à 250 000 $ US.

«Les organisations qui ont de bons programmes de primes de bug en ont énormément profité», explique Jérôme Segura, analyste en chef chez MalwareBytes. « Mais des problèmes délicats subsistent autour de la prime elle-même et ce qui est considéré dans la portée et le temps dont les vendeurs ont besoin avant la divulgation publique. »

Le système n’est pas sans défauts, comme le montre le profil Zuckerberg. Plusieurs entreprises ont été critiquées pour leurs récompenses dérisoires pour les principales découvertes de vulnérabilité, d’autres pour leurs réponses lentes ou inexistantes. Dans un cas, un hacker au chapeau blanc a publié un faux jeu, appelé « Watch Paint Dry », sur la première page du marché du jeu vidéo Steam après que son équipe de sécurité à plusieurs reprises ignoré ses avertissements sur une faille.

Apple a lancé un programme de primes de bugs en 2016. Mais les bugs de ses logiciels hautement sécurisés sont si précieux, avec plusieurs compagnies privées secrètes offrant jusqu’à 1,5 millions de dollars pour une attaque de haut niveau, que certains membres de la communauté de piratage ont suggéré. Les propres paiements d’Apple, qui vont de 25 000 $ US à 200 000 $ US, ne sont tout simplement pas assez élevés. Uber a rencontré des problèmes avec son bug après qu’une cyber-fuite ait révélé les détails de 57 millions de clients. Le piratage a été attribuée à un chasseur de primes de bug, que les dirigeants ont essayé de faire taire avec un paiement de 100 000 $ tout en cachant le problème aux utilisateurs

Il s’agit d’un petit marché, mais avec une poignée de start-ups qui tentent d’exploiter la communauté des hackers, il est peu probable que cela reste ainsi, selon Mårten Mickos, directeur général de HackerOne. « Dans le grand schéma des choses, il est encore relativement petit », dit Mickos. « Mais étant donné les avantages de la sécurité alimentée par les hackers, le marché devrait continuer de croître et nous pensons que la seule façon d’arrêter un pirate est d’utiliser un hacker éthique. »

Avec des entreprises prêtes à soulever des paiements pour obtenir une équipe des meilleurs hackers pour tester leurs systèmes, il y a plus d’argent que jamais disponible pour les chasseurs de primes. « Les piratages de données sont coûteuses », explique Troy Hunt, chercheur en sécurité chez Microsoft. « Les organisations comprennent mieux la valeur réelle des bugs. »

Découvrez nos conseils sur la vie privée sur les réseaux sociaux.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage