Zero-day 2/3 : les bug bounty


Dans le cadre de notre série sur la gestion des vulnérabilités, nous vous proposons trois épisodes sur les zero-day, ces failles de sécurité encore inconnues des éditeurs. Dans ce second volet, focus sur les bug bounty.

Un bug bounty, qu’est-ce que c’est ?

Les bug bounty sont des programmes proposés par des éditeurs de logiciels ou des entreprises de services technologiques de grande envergure comme Apple, Facebook ou Google par exemple ou par des sociétés spécialisées telles que Yes We Hack, ou Bugcrowd. Ces sociétés invitent les chercheurs, hackers et spécialistes de la cybersécurité du monde entier à découvrir des vulnérabilités sur tout ou partie de leurs logiciels. A la clé : une récompense monétaire dont le montant évolue en fonction de la criticité de la vulnérabilité trouvée.

Les bug bounty permettent de découvrir différents types de vulnérabilités, dont les 0-day.

Quand les bug bounty sont-ils nés ?

Le premier bug bounty est attribué à la société Netscape Communications, pionnière du web, qui lance son premier programme de recherche de vulnérabilités en 1995.

Cependant, la revue TechCrunch* fait mention d’un bug bounty organisé en 1983 par la société Hunter & Ready pour rechercher des vulnérabilités dans les systèmes d’exploitation VRTX. A la clé : une Volkswagen Beetles (la fameuse coccinelle). Leur slogan : « Get a bug if you find a bug** ».

Découvrez les bug bounty avec Orange Cyberdefense

A combien s’élèvent les récompenses offertes par les programmes de bug bounty ?

Les récompenses pour les bug bounty peuvent aller de quelques centaines de dollars à quelques centaines de milliers de dollars. Voici par exemple celui de Google :

Découvrez les bug bounty avec Orange Cyberdefense

Source : google.com ; mars 2019

En 2018, Google a récompensé 317 spécialistes (provenant de 78 pays différents) pour un montant total de 3,4 millions de dollars. Sur ces 3,4 millions, la plus haute récompense individuelle a atteint 41 000 dollars. Depuis 2010, date de création de son bug bounty, Google a offert 15 millions de dollars de récompense pour la découverte de vulnérabilités au sein de son programme***.

On peut également noter l’existence de concours d’exploitation de 0-day organisés en marge de convention de hacking, qui, lorsqu’ils sont sponsorisés par des acteurs importants, attirent les meilleurs chercheurs. L’objectif : démontrer en « live », c’est-à-dire devant une audience, un exploit sur des technologies dominantes comme Microsoft, Google ou Apple. Ces événements très médiatiques mettent en lumière les meilleurs sociétés et chercheurs dans le domaine au niveau mondial. Ils permettent notamment la découverte de nombreuses vulnérabilités 0-day critiques impactant les cibles de ce genre de concours.

Par exemple, cette année, le concours Pwn2own à la CanSecWest, propose aux chercheurs de mettre à l’épreuve un modèle de Telsa. En cas de réussite, et un peu comme l’exemple de la coccinelle cité plus haut, une Tesla leur sera offerte.

Découvrez les bug bounty avec Orange Cyberdefense

Source : thezdi.com ; mars 2019

Toutes les entreprises ne pouvant pas dépenser des sommes conséquentes, les programmes de bug bounty développés en interne sont réservés à des sociétés ayant des moyens importants. Pour les autres, il existe d’autres formes de bug bounty.

A part les géants du net et du logiciel, qui sont les acteurs majeurs des bug bounty ?

L’organisme Yes We Hack, créé en 2013 « par des passionnés de la cybersécurité, tous ancrés dans la communauté », se revendique comme la « première plateforme européenne de bug bounty ». Concrètement, Yes We Hack met en relation des entreprises avec sa communauté de chercheurs, composée, en mars 2019, de 7137 experts****.

Ces sociétés ont le choix entre des bug bounty privés (ceux-ci restent confidentiels et demeurent uniquement accessibles sur invitation) et des programmes publics (ils sont ouverts à tous et publiés sur le site web de la plateforme).

Les récompenses proposées par Yes We Hack sur ses programmes publics, toujours en mars 2019, commencent à 50 dollars et peuvent atteindre, au maximum, 10 000 dollars.

Découvrez les bug bounty avec Orange Cyberdefense

Aux Etats-Unis, la plateforme HackerOne, créée en 2012, fonctionne sur le même modèle que Yes We Hack. Elle met en relation des organismes publics ou privés avec sa communauté d’ethical hackers, composée de 290 000 experts en 2018. HackerOne a notamment travaillé avec Airbnb, General Motors ou encore le département de la Défense américaine. Son but : « rendre internet plus sécure ». Depuis sa création, elle affirme avoir offert 40 millions de dollars de récompense à ses chercheurs*****.

HackerOne et Yes We Hack ne sont pas les seules plateformes de ce genre, mais restent les plus connues.

Existe-t-il des bug bounty sans récompense ?

Le principe même d’un bug bounty repose sur l’échange d’information contre une récompense. Cependant, tous les chercheurs et hackers ne sont pas à la recherche d’un retour financier. A titre d’illustration, Yes We Hack a également lancé la plateforme zerodisclo.com, un site internet qui permet à des experts de remonter des vulnérabilités de manière anonyme mais aussi gratuite. Ces alertes sont traitées par des CERT (computer emergency response team) qui se chargent de prévenir les sociétés touchées.

Quelles règles doivent respecter les participants des bug bounty ?

Chaque programme de bug bounty établit ses propres règles. Le plus souvent, la criticité de la vulnérabilité et son champ d’application font évoluer les montants des récompenses. Voici l’exemple des règles édictées par Yes We Hack en mars 2019, sur l’un de ses programmes :

Découvrez les bug bounty avec Orange Cyberdefense

Qu’est-ce qu’un hall of fame ?

Littéralement, un hall of fame est un mur des célébrités. Les plateformes mettent en effet en lumière les hackers et chercheurs ayant le plus contribué ou ayant trouvé les vulnérabilités les plus critiques.

Santiago Lopez, un jeune Argentin de 19 ans, s’est particulièrement distingué. Il est le premier expert à avoir atteint le chiffre record d’un million de dollars de récompense sur la plateforme HackerOne. Il est à l’origine de la découverte de 1670 failles de sécurité, impactant notamment Twitter ou WordPress*****.

Ces halls of fame ouvrent aux experts l’accès à des postes très convoités et permettent aux entreprises de recruter ceux qui sont considérés comme les meilleurs dans leur domaine.

Les bug bounty sont-ils efficaces ?

Il n’y a aucun doute sur l’efficacité des bug bounty, qui restent des programmes très prisés par les experts et les organismes privés ou publics. Les deux parties ont à cœur de rendre les systèmes d’information, les logiciels et le web plus sûrs, mais ce n’est pas le cas de tous. Comme nous le verrons dans la troisième et dernière partie de notre série, les vulnérabilités 0-day se vendent à prix d’or, à des montants très éloignés de ceux des bug bounty. Un marché attractif, où les acteurs poursuivent d’autres desseins.

Notes :  

*Sources : techcrunch.com ; Hacking the Army ; 2017 / ITSP

**Jeu de mot difficilement transposable en français, littéralement : « Recevez une coccinelle, si vous trouvez un bug », « bug » signifiant à la fois « faille » et « insecte » en anglais.

***Source : lemondeinformatique.fr ; 3,4 M$ distribués par Google en 2018 pour son programme bug bounty ; février 2019

****Source : yeswehack.com ; mars 2019

*****Source : hackerone.com ; mars 2019