Vulnérabilités et Bug Bounty

Les failles de sécurité informatique constituent aujourd’hui un cadre ou des professionnels peuvent exprimer leurs talents les mêmes se faire rémunérer.

On parle le plus souvent de Bug Bounty appelé aussi les chasses de bug ou prime de faille de sécurité. Dans ce genre de situation des personnes sont rémunérées pour trouver dans des systèmes informatiques particuliers les vulnérabilités informatiques pouvant être exploitées au détriment même de l’utilisateur de ce système ou de l’éditeur de ce système. Mais à côté des Bugs Bounty, il existe aussi des marchés parallèles où des failles de sécurité sont commercialisées au détriment des éditeurs de logiciels, des constructeurs d’outils numérique et même des utilisateurs pour des objectifs souvent peu difficiles à déterminer.

Cet article va aussi vous intéresser : Les Bug Bounty payent-ils bien ?

Généralement les Bugs Bounty sont proposés par de grosses entreprises qui se spécialisent typiquement dans le numérique ou presque. Parmi ces entreprises on peut citer les GAFAM (Google, Amazon, Facebook, Microsoft et Apple).

Il arrive souvent que des organismes gouvernementaux décident aussi de s’investir dans le secteur des chasses aux primes, car de manière concrète, il y a toujours un avantage certain à trouver les failles de sécurité en avance, les corriger avant que les cybercriminels ne le fassent.

Les Bugs Bounty s’organisent soit de manière public ou de façon très discrète. La rémunération des hackers varie selon la nature de la faille de sécurité découverte ainsi que de la possibilité de l’exploiter. On peut donc certainement trouver des Bug Bounty pouvant rapporter jusqu’à des millions de dollars alors que d’autres ne se limitent qu’à des centaines de dollars.

Au cœur des bugs, plusieurs entreprises s’organisent dans le but de reprendre à la demande des clients. Les plus populaires sont notamment l’entreprise américaine HackerOne. Mais, il en existe plusieurs autres tels que Zero Day Initiative, YesWeHack, une société française et Zerocopter une société néerlandaise.

L’entreprise française YesWeHack a été créée en 2013 et se spécialise typiquement dans la recherche des failles de sécurité sur commande ou de manière spontanée pour les proposer aux entreprises concernées.

« Nos hackers, tous indépendants, ne travaillent que pour le compte des clients dont ils ont découvert les vulnérabilités », note Romain Lecoeuvre, le directeur technique de YesWeHack.

On rappelle qu’en 2020, lors de la mise en disposition de l’application de traçage mobile STOPCOVID, l’entreprise a été invitée dans un processus de recherche de failles de sécurité sur la demande de l’éditrice de l’application, l’Institut national de recherche en informatique et en automatique en collaboration avec l’Agence nationale de sécurité des systèmes d’information (l’organisme en charge de la cybersécurité des institutions en France). Le programme a été très utile pour mettre en évidence les vulnérabilités qui ont été corrigées avant la disposition de l’application.

Pourtant ce marché est beaucoup plus dominé par la vente de vulnérabilité qui souvent se fait de manière illicite, ou peu éthiques.

Et cela se comprend généralement. Tout est soit une question d’argent ou une question d’éthique. Quand un chercheur de faille de sécurité trouve une vulnérabilité, il a trois possibilités : soit il le vend sur le marché noir, ou à des entreprises telles que Zerodium (on parle de marché gris car n’ayant pas mis un statut illégal ni et statut légal), ou soit il le transmet directement à la société concernée par cette vulnérabilité en espérant une rémunération. Dans la majeure partie des cas, les hackers procèdent par les deux premières propositions. Car la troisième peut souvent avoir des conséquences qui ne sont pas véritablement souhaitables ou souhaitées.

Pour les entreprises comme Zerodium, la commercialisation des failles de sécurité repose sur un contexte légal mais avec une législation difficilement déterminable. Le fait que cela soit flou profite non seulement aux États mais aussi à des personnes pouvant avoir des intentions non louables.

Mais en tout état de cause, le secteur des failles de sécurité est quelque chose qui bouge énormément et rapporte de l’argent. Mais elle connaît aussi son lot de dangers et de difficultés. Mais on peut nettement présager une évolution du marché.

« Les pirates ont signalé plus de 181 000 vulnérabilités valides et la valeur commerciale de chaque vulnérabilité découverte est, en moyenne, de 979 dollars », selon le rapport annuel de la société américaine HackerOne pour l’année 2020.

Accédez maintenant à un nombre illimité de mot de passe :