Archives par mot-clé : bug bounty

Les Bug Bounty payent-ils bien ?

Pour ceux qui sont du domaine de la sécurité informatique, il n’est pas rare que les bug Bounty, encore appelés les primes de bug vous tentent un de ses jours.

En effet, la somme d’argent proposé pour servir de ce programme sont notamment alléchantes. Et certains y voient littéralement un moyen de gagner leur vie. Seulement à cause des gains, et aussi pour la liberté qu’offre ce milieu professionnel assez particulier.

Cet article va aussi vous intéresser : Le réseau social Facebook va étendre les capacités de son programme de bug bounty

Si aujourd’hui cela est devenue une activité courante voir quelque chose d’assez banale, il faut néanmoins noter qu’il y a quelques années de cela, signaler une faille de sécurité ou même un simple bug pouvant toucher le système d’information d’une administration était susceptible de conduire l’individu en prison. À la clé des découvertes de bugs il y a souvent des ennuis. Brice Augras et Christophe Hauquiert, des chercheurs notaient à ce propos : « Ça prenait du temps, c’était compliqué et souvent, on n’était pas tenu au courant des correctifs ou de ce qu’il se passait après notre signalement. Et parfois, on se heurtait à un mur, avec des sous-entendus qui laissaient entendre qu’on risquait de se frotter aux avocats de la société en question. Et ça, sans même parler d’éventuelles récompenses. » pareil du côté de Yann Cam : « la sécurité informatique m’intéresse depuis mes 11 ans globalement. Ça m’arrivait de repérer des vulnérabilités, mais quand on les faisait remonter, on se faisait souvent très mal accueillir. Ça a pu me refroidir à une certaine période ».

Mais depuis lors, le bug Bounty se sont démocratiser. Ils sont devenus une pratique assez courante voire nécessaire lorsqu’une entreprise du domaine de la Tech veut lancer un nouveau produit, et s’assurer que sa clientèle aura toute confiance en ce dernier. Les entreprises en ont fait, non seulement le moyen de pouvoir s’assurer une meilleure sécurisation de leurs produits, mais aussi une stratégie marketing pour démontrer qu’elle met tout en œuvre pour s’assurer de produire des outils sûrs. Dans de tel contexte, certaines entreprises en se sont pas organisées pour fournir à ces entreprises de la Tech, un contact facile avec de potentiel hacker pour le développement de cette pratique qui est devenue presque symbolique. Ces entreprises créent une cadre professionnelle ou des spécialistes de la cybersécurité de manière libre, met à disposition leurs compétences service des entreprises contre des primes ou des rémunérations stables. On peut citer entre autres l’entreprise américaine célèbre dans le milieu HackerOne et l’entreprise française, YesWeHack.

Le travail est organisé de sorte à permettent aussi sa liste de la sécurité souvent appelé chasseurs de bug ou encore Hackers éthiques d’explorer des systèmes d’information dans le but des cellules généralités contre les défaillances techniques non de découverte. Ce sont des activités légalement encadrer car les entreprises ont tendance à les mentionner dans leur bilan annuel. Ce qui bien sûr elle et nature à attirer chaque fois encore plus de potentiels intéressés « On est parvenu à récolter 100 000 dollars de récompense sur un bug affectant la plateforme Kubernetes », détaillait par exemple Brice Augras et Christophe Hauquiert, deux chercheurs en sécurité qui officient sur HackerOne et Yogosha. Si les sommes d’argent souvent proposé attire, car alléchantes, il faut signifier que le travail à abattre est assez conséquent : « c’est le résultat d’un travail de 6 mois à deux personnes. Maintenant, un chercheur en haut du classement qui y consacre du temps peut facilement dégager entre 2 000 et 3 000 euros par mois ».

De la sorte, si les montants proposés peuvent avoir l’air assez important, pour la plupart des chasseurs de bugs tels que Brice Augras et Christophe Hauquiert c’est plutôt une activité annexe. « On se fait parfois des week-ends ou des nuits pour travailler sur certains programmes, mais c’est compliqué d’en faire une activité à plein temps. Les revenus sont irréguliers, et c’est quelque chose d’assez stressant. », et c’est pareil pour Yann Cam, pentester et lead auditor pour une société spécialisée en sécurité informatique « J’ai beaucoup de respect pour ceux qui essaient d’en vivre, mais il y a un manque de stabilité qui m’empêche de faire ça à plein temps. L’année dernière, j’ai dû faire remonter entre 300 et 400 bugs, mais c’est compliqué de trouver du temps pour travailler. On se retrouve souvent à bosser de nuit ou pendant nos pauses déjeuner », note-il. S’il faut ajouter la vie de famille, le rythme du travail, les exigences temporelles, ainsi que les frustrations de pouvoir rater de temps en temps certains prime, le travail ça devient ennuyeux voire peu intéressant professionnellement. « A mon sens, c’est vraiment important que les hunters fassent des pauses : je vois beaucoup de hunters qui se lancent, trouvent une vulnérabilité critique, se laissent prendre par la montée d’adrénaline et qui perdent un peu pied quand ils se retrouvent ensuite en difficulté », explique-t-il. C’est pour cette raison que la majorité des chercheurs voient les bugs Bounty comme des activités secondaires à faire durant les temps libres.

Cependant, malgré ce qui peut être décrit comme des inconvénients du métier, certains ont quand même décidé de l’adopter comme travaille à temps plein. Même s’ils sont minoritaires il existe bel bien certain qui voient les chasses de prime comme elle travaille à part entière. A l’instar de Anthony, connu sous le pseudonyme de Kuromatae, qui depuis deux ans fonctionne ainsi : « Ce qui m’a vraiment motivé, c’est la possibilité de pouvoir travailler entièrement à distance dans les conditions que je voulais. Mais aussi le fait que je ne m’y retrouvais pas trop dans le cadre de l’entreprise au niveau des sujets que j’abordais : le bug Bounty me permet de toucher à tout ». Explique ce dernier. « L’objectif que je me fixe, c’est d’être capable de générer un SMIC annuel au minimum. Au départ, j’étais dans une optique où je considérais problématique de ne pas avoir de rentrée d’argent pendant un mois. Mais au final, on arrive à mettre un peu de coter pour se constituer un matelas », continue t-il.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Le géant américain Microsoft dépense plus de 13 millions de dollars comme récompenses pour la découverte de bugs

Dans un communiqué récemment publié, le géant de Redmond a signifié avoir dépensé près de 13,7 million de dollars dans des programmes de recherche de bug.

Ces dépenses ont couru entre le 1er juillet 2019 au 30 juin 2020 soit en une année. En échange, le géant américain affirme avoir reçu près de 1226 rapports de vulnérabilité. 327 chercheurs en sécurité informatique, répartis sur tous les continents du monde, à travers exactement 15 programmes de recherches de bugs ont profité de cette énorme somme d’argent.

Cet article va aussi vous intéresser : 100 000 dollars pour pirater Microsoft

La plus grosse récompense durant cette année a été à hauteur de 200 000 dollars.

En général, le programme de recherche de bug lancé par Microsoft se place comme étant l’une des principales sources de revenus des spécialistes de la sécurité informatique freelance, qui passent leur temps à rechercher des vulnérabilités dans les différents logiciels pour ensuite avertir le fournisseur. Au lieu de tout simplement le vendre à des pirates informatiques ou encore à des courtiers en passant par le marché noir, se muer en chasseur de bug et une activité légale qui peut rapporter gros selon la trouvaille.

Par rapport à l’année précédente, on dira que Microsoft a tout simplement triplés son budget de prime. En effet l’année dernière c’était 4,4 millions de dollars qui aurait été distribués dans les mêmes conditions. Parfois, les agents de Microsoft Security Response Center déclarent ceci dans un billet de blog : « Les chercheurs en sécurité sont une composante vitale de l’écosystème de cybersécurité qui protège toutes les facettes de la vie numérique et du commerce ». Ces derniers ajouteront que : « Les chercheurs qui consacrent du temps à découvrir et à signaler les problèmes de sécurité avant que les adversaires ne puissent les exploiter ont gagné notre respect et notre gratitude ».

Notons à titre de rappel que le bug Bounty et une prime qui est versée lors d’un programme, qui consiste pour des chercheurs à déceler dans des programmes informatiques (système d’exploitation, applications de gestion, soc.) des failles de sécurité, qui n’auraient pas été décelées par les fabricants et les visiteurs lors de la conception du programmes ou matériel informatique concerné. Tout ceci se déroule dans des conditions légales bien encadrées. Les chercheurs sont souvent connus d’avance. Ils sont tenus au respect de la confidentialité de leur trouvaille et ne sont en aucun cas autorisés à exploiter la vulnérabilité qu’ils découvriront. En ce qui concerne les failles de sécurité découvertes lors de ses programmes, les chercheurs impliqués doivent faire un rapport détaillé de la procédure qui leurs ont permis de découvrir cette vulnérabilité. Notons que les programmes de bug Bounty s’apparentent un peu au tests d’hacking généralement réalisés par des prestataires en particulier. Cependant ces derniers n’offrent pas les mêmes opportunités et les mêmes challenges que les bug Bounty. En effet, le programme de chasse de Primes de bug permet de multiplier le nombre de personnes qui auront la tâche de trouver la vulnérabilité. Et la plupart du temps de compétences qui sont la plupart ignorées par les prestataires de solutions de sécurité les tests d’hacking sont relevés. Sans oublier que le temps accordé à cette tâche et beaucoup de plus élevé que celui qui est généralement est consacré à un audit ponctuel. Sans oublier dans un certain sens que les angles d’attaques sont divers et originaux.

Pour ce qui concerne les primes octroyées par le géant de Redmond, leur subite augmentation s’explique notamment par les nombre de vulnérabilité qui auraient été découvertes, en particulier par l’équipe de Google, le Project Zéro. En effet, le 3 août dernier c’est-à-dire la semaine passée, l’équipe du géant américain mentionnait avoir découvert près de 11 failles de sécurité de type 0 day (ces failles de sécurité qui sont intrinsèquement liées soit à un matériel informatique ou un programme, et qui n’ont jamais été découvertes ni par l’éditeur ni par un chasseur de prime agréé, et donc n’aurait pas été corrigées.) qui auraient été exploitées durant le premier semestre de 2020. Le fait qu’il n’est pas négligeable quand on sait que découvrir des vulnérabilités de type 0 day est extrêmement rare.

Toutefois il ne faudrait pas oublier que durant le mois de mars, Microsoft corrigeait près de 115 failles de sécurité découvertes. Parmi ces vulnérabilités, une en particulière aurait décelée au niveau de l’exécution à distance des codes Microsoft Edge PDF (CVE-2020-1096). D’autres failles offraient la possibilité de corrompre la mémoire des Windows. Ces failles de sécurité ont malheureusement été exploitées avant même que Microsoft puisse produire des patchs de sécurité.

Par ailleurs, Microsoft explique l’augmentation des primes versées par le fait développement de nouveaux programmes informatiques. Il confirme aussi que la crise du au Coronavirus a été l’une des causes à considérer : « En plus des nouveaux programmes de primes, la pandémie de COVID-19 semble avoir eu un impact sur l’activité des chercheurs en sécurité. Dans l’ensemble de nos 15 programmes de primes, nous avons constaté un fort engagement des chercheurs et un volume de rapports plus élevé au cours des premiers mois de la pandémie », a signifié Jarek Stanley, responsable du programme de Microsoft Security Response Center.

Entre autres, on peut noter ces programmes de recherche de bug à titre d’illustration :

– le programme Microsoft Dynamics 365 Bounty lancé en juillet 2019 ;

– le programme Azure Security Lab lancé en août 2019 ;

– le programme Microsoft Edge on Chromium Bounty lancé en août 2019 ;

– Le programme Xbox Bounty lancé en janvier 2020 ;

– Le programme de recherche sur la sécurité d’Azure Sphere lancé en mai 2020.

En outre, le géant américain ne compte pas de divulguer la femme totale qu’il a dépensé depuis le début de ces programmes de chasse au Bug : « Notre programme Bug Bounty a démarré il y a sept ans dans le but de protéger davantage nos milliards de clients alors que les menaces de sécurité continuaient d’évoluer », note Jarek Stanley. Il ajoutera : « Nous ne pouvons pas divulguer le nombre exact de paiements depuis le début du programme de récompenses ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

100 000 dollars pour pirater Microsoft

Pour les géants du numérique tout comme la majorité des entreprises qui oeuvrent dans les secteurs des nouvelles technologies, il est courant d’assister à des programmes de chasse de bug appelé communément bug Bounty.

L’objectif est très simple, c’est de trouver des failles de sécurité ou de potentiel bug, par l’intervention de pirates informatiques classés dans la catégorie d’éthique, afin que ces vulnérabilités ne tombent pas entre de mauvaises mains. Effectivement, des acteurs engagés pour ce travail sont rémunérés lorsqu’ils les découvrent. Dans ce contexte similaire, le géant de Redmond, Microsoft propose la prime de 100 000 dollars aux pirates informatiques qui réussira à hacker son système de défense censé protéger ses infrastructures Azure Sphère.

Cet article va aussi vous intéresser : 100 000 $ pour trouver une faille dans le système anti-triche de Valorant

Le programme a débuté depuis le 1er juin. Participent à ce Bug Bounty, 50 pirates informatiques considérés comme des génies dans le domaine. Les dépôts de candidatures ont pris fin à partir du 15 mai dernier. La durée du programme est de 3 mois, où chaque hacker sélectionner aura pour mission de pirater le système de défense de Microsoft dans l’optique de gagner la somme de 100 mille dollar par vulnérabilité. « Ces dernières heures, les pirates informatiques du monde entier ont commencé à fourbir leurs armes. Microsoft vient en effet de proposer un chèque de 100’000 dollars à celui ou ceux qui réussiront à contourner tous les pare-feu de son système Azure Sphere, fonctionnant avec le système d’exploitation Linux. » commentait Olivier Wurlod, journaliste pour l’agencede presse Reuters.

Comme Microsoft le sait, aucun système n’est invulnérable. La tâche de ces 50 génies sera de le prouver.

L’Utilisation des programmes de chasse de failles est une vielle pratique. Surtout pour les géants du secteur des numériques tels que Google, Netflix, Apple et bien d’autres. Certaines sociétés se sont mêmes spécialisées dans la mise en relation entre les sociétés demanderesses et les hackers éthiques. On peut citer notamment HackerOne et YesWeHack. « Ces programmes ont l’avantage de pouvoir identifier les failles sécuritaires d’un système informatique dans un environnement contrôlé et donc sans danger réel pour l’entreprise attaquée. » souligne le journaliste de Reuters.

Par ailleurs, Sylvie Liu, la responsable en charge du programme de sécurité au Microsoft Security Response notait qu’en dehors des hackers sélectionnés, des spécialistes aguerris de la sécurité informatique, tels que BitDefender, McAfee ou Avira participerons au programme de recherche de bugs afin de mettre en place un programme de défense le plus efficace possible. « Faire participer la communauté de chercheurs en sécurité à la recherche de vulnérabilités avant que les pirates ne le fassent fait partie de l’approche holistique adoptée par Azure Sphere pour réduire les risques », a-t-elle écrit sur son blog.

Cependant, pour ceux qui suivent cette actualité, la prime proposée par Microsoft à hauteur de 100 000 dollars semble littéralement peu suffisante à leurs yeux. Surtout dans un contexte ou des concurrents tels que Google ou Apple propose souvent des primes pouvant aller jusqu’à 1 million de dollars. En effet, il y a seulement quelques mois, le géant de Mountain Viewproposer la bagatelle de 1,5 million de dollars à celui qui réussirait à compromettre le système de sécurité proposé à travers les puces Titan M censés en renforcer et la sécurité de la gamme smartphone Pixels. Par ailleurs en remontant un peu plus loin, le chèque le plus élevé signé par Google pour un programme de Bounty s’élève à hauteur de 161 337 dollars. Donc plus élevé que celui proposé par Microsoft. Et Google n’est pas le seul dans ce cas. En effet, plus de firmes proposent des primes de plus en plus élevé comme Apple. Dans un tel contexte, on se demande alors si les 100 000 dollars proposés par la firme de Redmond sont en mesure de motiver efficacement les participants au programme, quand ils savent qu’ailleurs on propose plus.

La Suisse a décidé de suivre l’exemple de Microsoft pour la défense de ces infrastructures. Par conséquent, il y a presque un an de cela, le service de la Poste avait alors soumis son système informatique développé pour le vote électronique à l’assaut de 2000 pirates informatiques. Même si de ce côté, les récompenses n’ont jamais excédé le palier de 50 000 dollars. Mais heureusement pour les autorités en charge de programme, le bug Bounty a bel et bien attirer des pirates informatiques locaux et même certains venant de l’extérieur du pays. Comme quoi l’argent ne fait pas tout. De quoi a rassuré peut-être Microsoft.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

100 000 $ pour trouver une faille dans le système anti-triche de Valorant

Riot a proposé une de 157 097 dollars à la personne qui trouvera une faille de sécurité dans Vangard, le système anti triche de l’entreprise.

L’annonce été faite hier et se présente clairement comme la prime la plus élevée dans pour dans ce genre jusqu’à présent. Publiée sur la plateforme de HackerOne, il est possible, aux utilisateurs intéressés par le bug Bounty d’avoir accès à quelques notes pour être en mesure d’identifier des vulnérabilités.

Cet article va aussi vous intéresser : Ces hackers qui gagnent beaucoup d’argent… légalement

En réalité, il y a plusieurs niveaux de récompense qui ne sont pas similaires. Plus la faille de sécurité est dangereuse plus la prime est élevée. La récompense commence à partir de 25 000 dollars américains, pour une vulnérabilité qui pourrait permettre à une personne extérieure d’avoir accès à des informations personnelles des utilisateurs de la plate-forme, on va s’étendre jusqu’à 157 000 dollars si la faille de sécurité permet : « l’exécution de code au niveau du noyau », ce qui pourrait permettre à un cybermalveillant de porter atteinte à l’intégrité de l’ordinateur de façon plus profonde. Des exemples ont été fournis par l’entreprise sur sa page officielle au dédiée aux primes.

Dans la pratique, ce type d’offres n’est pas vraiment inédite. En effet, plusieurs éditeurs proposent ce genre de bug Bounty en passant par HackerOne. Mais il faut avouer que la proposition faite par Riot est une première car aucune n’a encore atteint ce niveau. En effet, par exemple Valve propose souvent des primes allant jusqu’à 3000 dollars  Américain maximum selon la gravité de la famille découverte. Nintendo jusqu’à 20 000 dollars américains pour la découverte des failles selon leur gravité aussi et Rockstar Games propose un maximum de 10 000 $ US. Aucun n’atteint la barre des 100 000 dollars proposé par Riot. Si une telle proposition est inédite, dans notre cas, elle puisse sa source dans la fameuse controverse qui concernait directement son système d’anti triche dénommé Vangard, qui s’installait sur les terminaux des utilisateurs lorsqu’il jouait au nouveau jeu de tir compétitif, Valorant. Le problème était lié au fait que le programme critiqué (Vangard) continuait de fonctionner sur les ordinateurs des joueurs avec beaucoup plus de privilèges qu’il ne devrait avoir pour fonctionner normalement. La société éditrice a essayé de calmer les critiques en affirmant que son programme était constamment testé pour empêcher d’autres formes de vulnérabilité pour affecter les ordinateurs des utilisateurs. Dans la prime proposée pour justifier sa thèse et rassurer. « Nous voulons que les joueurs continuent à jouer à nos jeux en toute tranquillité d’esprit, et nous mettons notre argent là où nous sommes », avait signifié l’équipe de sécurité anti-émeute de Riot. Elle ajoutera par ailleurs : « Si vous pensez que vous avez trouvé une faille dans Vanguard qui compromettrait la sécurité et la confidentialité des joueurs, veuillez soumettre un rapport immédiatement. »

Ce n’est pas une première fois que l’éditeur de jeux lance une prime. Même si celle-ci est la plus élevée, depuis 2014, il est possible de participer au programme de bug Bounty de Riot sur HackerOne. Avant cela, les prix variaient entre 250 dollars américain et 4000 dollars selon une certaine présentation. Selon les chiffres publiés par l’entreprise, Riot aurait payé dans le cadre de ce genre de programme près de 2 millions de dollars américains. De plus, il faut noter que le jeux Valorant est en version Bêta, donc n’est accessible que pour deux joueurs ayant des clés. Vangard qui y sera associé présente une architecture suivante telle décrite par Benjamin Flann Vanese : « Vanguard est constitué de trois composants : le client, le driver et la plateforme. Le client (mode utilisateur) gère toutes les détections anti-triche tant que le jeu tourne. Le client a besoin de communiquer avec la plateforme pour détecter et pour permettre à un joueur de jouer. Le client ne considère pas une machine comme bonne, à moins qu’elle ne reconnaisse les drivers ; les machines qui ne le sont pas ne peuvent pas être utilisées pour jouer à VALORANT. Le driver ne collecte ou n’envoie aucune information sur votre ordinateur. Le driver a été approuvé par le certificat de validation étendu de Riot, qui a aussi été signé par Microsoft pour l’identification logicielle. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Le réseau social Facebook va étendre les capacités de son programme de bug bounty

Dans le souci d’accroître la protection de ses utilisateurs, le géant Américain des réseaux sociaux, Facebook va accroître son programme de bug Bounty.

Effectivement Facebook pourra désormais récompensé à hauteur de 500 dollars tous les spécialistes ou chercheurs en sécurité informatique qui arriveront à déceler une quelconque vulnérabilité sur sa plate-forme. Il sera aussi exigé de la part des chercheurs plusieurs vérifications de façon régulière.

Cet article va aussi vous intéresser : Quand la divulgation de failles de sécurité demeure un problème épineux

On voit depuis un certain moment que Facebook mise beaucoup sur ces programmes ses bugs Bounty. Depuis le mois avril de l’an dernier, la société américaine s’était engagée à verser une rémunération à toute personne trouvant des failles sur son site internet. Et c’est dans ce contexte que le chef de la sécurité de chez Facebook Collin Greene, avait annoncé que « des récompenses financières seront reversées aux personnes qui détecteront des vulnérabilités. ».

Mais dorénavant, le réseau social ne compte plus observer de manière à attendre qu’es ses chasseurs de bug trouvent une failles avant les pirates. Il sera engagé des tests sur demande pour mettre à l’épreuve l’ensemble de son système et ainsi que les modèles de sécurité. Et pour cela le réseau social compte mettre en place une équipe de chercheurs de cybersécurité à l’exemple du Project Zero de Google. Le directeur du département sécurité du réseau social le plus utilisé au monde va expliquer cela dans une publication qui est très ravissante : « nous élargissons la portée de ce programme pour récompenser les rapports faisant mention des vulnérabilités avérées, dans les applications et les sites web tiers qui s’intègrent à Facebook ».

Quand on sait que le métier de chercheur de bug est un travail qui est très en vogue de nos jours, Facebook de prendra pas du temps pour se constituer son armée des chasseurs de bug informatique. Cependant pour être admissible, il y a certaines règles relatives à la divulgation des vulnérabilités ainsi que des primes auxquelles il faudrait d’abord se conformer, sinon Facebook de vous ne considèrera pas comme un collaborateur dans ce secteur.

Le réseau social espère grandement que cette initiative va accroître encore la portée des recherches et par ricochet la sécurité de ses utilisateurs dans son ensemble : « nous espérons encourager la communauté des chercheurs en sécurité informatique à s’engager encore un peu plus à nos côtés ».

Le montant de la prime moyenne est de 500 dollars soit 450 €. Mais ce n’est pas ce qu’on pourrait appeler une récompense stable car elle peut grimper en tenant compte de l’importance de la faille de sécurité découverte. C’est l’exemple de ce jeune de nationalité Finlandaise, âgé de seulement 10 ans, qui a obtenu 10 000 dollars de récompense pour avoir découvert une faille importante de sécurité. Son exploit avait été de trouver un moyen de s’introduire dans les serveurs de Facebook, pour retirer des commentaires fait par des utilisateurs.

Pour le moment on ne sait pas exactement quand est-ce que le programme démarrera décrit par Facebook.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage