Bug Bounty : Sécurité informatique et Hackers
TV5 monde, Sony, Orange, PNB Paribas, Ashley Madison et bien d’autres entreprises ont été victimes d’attaques cybercriminelles. Ces attaques ont causé la perte de millions de dollars, des pertes d’emplois et même des suicides. Le coût moyen d’une attaque est estimé à 770 00 Euros.
Pour protéger leurs dossiers confidentiels ou les données personnelles de leurs clients, ces boites investissent des sommes très importantes pour se prévenir contre ces attaques. Dans ce contexte, on voit apparaître une collaboration de plus en plus étroite entre les grandes entreprises et les Hackers pour identifier, tracker et corriger les bugs. C’est le Bug Bounty.
Nous avons reçu Yassir Kazar, fondateur de Yogosha, une plateforme qui vise à identifier les Bugs. Yassir est un entrepreneur marocain installé en France. Passionné par la sécurité informatique, l’économie collaborative, l’Open Data et Business Intelligence, Yassir a fondé avec d’autres associés, la startup Yogosha en 2015
Un Hacker n’est pas un cyber criminel
Contrairement aux idées reçues, un Hacker n’est pas un malfaiteur. Yassir nous explique qu’un Hacker est d’abord un “bidouilleur” animé pas le sens de l’entraide et du partage. Le Hacker cherche à comprendre comment les choses sont faites et décortiquer leur fonctionnement. C’est l’essence même du Hacking.
Le Bug Bounty c’est quoi ?
Un Bug Bounty est un accord passé par de nombreuses entreprises avec des communautés de hackers whitehats, leur offrant reconnaissance et rétribution quand ils signalent des failles de sécurité. Un Bug Bounty permet aux départements IT de découvrir et corriger leurs failles de sécurité, prévenant ainsi de futurs incidents.
Ces récompenses varient très largement d’une entreprise à une autre et dépendent du type de la faille et sa criticité.
Pour encaisser son prix, le « hunter » doit signaler le bug en présentant un rapport détaillé et documenté (Lignes de code, captures d’écran, screencast,… etc) qui permet à l’entreprise de vérifier, valider et corriger la faille détectée. Le Hunter ne doit cependant pas rendre la faille publique avant la réponse de l’entreprise.
Les avantages du Bug Bounty
Pour auditer sa sécurité, une entreprise fait habituellement appel à un prestataire qui lui prépare un rapport de tests d’intrusion (pentests). Mais dans un monde où tout bouge très vite, ces rapports sont vite dépassés et l’entreprise doit refaire un audit, ce qui lui coute très cher. Le Bug Bounty présente une très bonne alternative : il permet de tester la sécurité de façon permanente, et peut corriger les failles presque en temps réel. Elle est aussi beaucoup plus efficace, puisque les chercheurs de failles ont le mindset d’un « hacker ». Enfin, l’entreprise ne paie qu’à la faille découverte. Les Bug Bounties renversent le modèle économique du pentesting, en le faisant basculer d’une obligation de moyens à une obligation de résultat. Là où il fallait financer la recherche de failles de sécurité, on achète désormais les résultats de cette recherche. Inutile de deviner (et de justifier) un budget consacré à la recherche, on ne paie que pour les failles avérées
Pourquoi il est important d’intégrer ces nouveaux métiers
Avec l’émergence de l’IoT (Internet of things), les attaques menacent désormais directement la sureté et la sécurité des personnes : Une attaque ou une faille peut faire sortir une voiture de sa trajectoire, ou faire chauffer un four jusqu’à son explosion. Cette nouvelle donne rend le besoin en sécurité encore plus pressant. En 2017, il y aura 3 fois plus d’objets connecté que d’êtres humains.
Les développeurs ne sont pas tous spécialistes de la sécurité
Yassir a listé un certain nombre de points qui expliquent pourquoi de nos jours nous assistons encore à des attaques informatique majeures. Parmi ces raisons il cite ce qu’il appelle « les failles originelles »qui sont dues à la conception même du produit qui ne prend pas en compte la nature de l’environnement où il va évoluer par la suite. En effet les développeurs ne font pas forcément de la sécurité : Ce n’est pas leur métier.
Notre invité rappelle aussi que la sécurité informatique est rarement intégrée dans les cours pour développeurs.
Voila pourquoi, faire appel à des plateformes de bug bounty contribuent à réduire le nombre d’incidents de sécurité rencontrés par une entreprise.
A propos de Yogosha
Yogosha, qui signifie “défense” en japonais, est une plateforme de Bug Bounty implantée dans la région EMEA.
La startup s’appuie sur une élite internationale de hackers éthiques, et permet à ses clients de mettre en œuvre une recherche de failles de sécurité en rémunérant les chercheurs à la faille découverte. Au travers d’une interface simple et intuitive, les entreprises et les organisations peuvent collaborer facilement avec les meilleurs profils de chercheurs en sécurité informatique.
