Bounty Factory : la première plateforme européenne dédiée au bug bounty
De plus en plus d’entreprise se lancent dans la recherche de « hackers » capable de lui trouver les failles qui pourraient faire mal. Depuis quelques années, les américains proposent de l’argent pour ces inventeurs de vulnérabilités. Depuis 23 heures, ce 20 janvier, l’Europe possède sa propre plateforme Bug Bounty. Une création 100 % Française baptisée Bounty Factory.
Un bug bounty, en quelques mots, c’est le moyen que certaines entreprises ont mis en place pour récompenser les internautes qui lui remonteraient des failles. Par exemple, j’ai pu participer à des bug bounty pour Microsoft, Apple et une dizaine d’entreprises. Moi, je ne cherche par la prime, le paquet de dollars. Avec le protocole d’alerte, c’est aider bénévolement. Cependant, si l’entreprise propose une récompense, les découvreurs de failles auraient bien tord de s’en priver. Les bugs bounty ne datent pas d’hier. L’un des premiers date de 1995. C’était la société Netscape. Elle récompensait les informaticiens qui trouvaient les problèmes de sécurité dans son navigateur, Navigator 2.0. En 2007, le premier concours pointe son nez, le Pwn2Own. Google en 2010, mais aussi la Def Con de Las Vegas et depuis trois ans, la Nuit du Hack, avec l’entreprise Qwant [Le moteur de recherche Français, NDR] ou encore DenyALL. Bref, les propositions des Bugs Bounty attirent de plus en plus de monde.
Combien ?
La sécurité informatique est un enjeu stratégique pour toutes les organisations. Effectuer un état des lieux s’avère indispensable afin d’en avoir une vision d’ensemble. Les audits de sécurité doivent être faits régulièrement et représentent un coût élevé. Les Bugs Bounties offrent la possibilité aux sociétés d’externaliser la recherche de vulnérabilités en collectant un nombre significatif de failles de sécurité potentielles qui seront reproduites puis analysées.
Les prix varient selon les sociétés. Ils peuvent être symboliques [Un merci, un tee-shirt, des produits…] ou sous forme de dollars/euros. De quelques centaines à plusieurs milliers de dollars. Par exemple, Yahoo! a reversé 24 000$ à un internaute lui ayant trouvé trois failles dans sa boutique. Bref, une chasse aux vulnérabilités collective pour plus d’efficacité. Il existe d’ailleurs un collectif dédié au sujet sous le nom de l’Internet Bug Bounty. Microsoft, Facebook et HackerOne en sont les instigateurs. Plusieurs centaines d’entreprises de part le monde ont lancé leur Bug Bounty. Un chiffre qui évolue à la hausse.
Bounty Factory : la première plateforme européenne dédiée au bug bounty
Ce mercredi 20 janvier, la société YesWeHack, plateforme de mise en relation dans les métiers de la sécurité informatique, a lancé Bounty Factory, la première plateforme de Bug Bounty Européenne. Une idée qui germait dans les esprits de plusieurs fondateurs (Korben, Nuit du Hack, Qwant). Une plateforme 100 % Made in France. Ils avaient d’ailleurs lancé, lors de la Nuit du Hack 2015, Fire Bounty, un agrégateur de Bug Bounty. 576 bounties de part le monde sont proposés. « Pour le moment, souligne Korben à ZATAZ.COM, nous sommes en version bêta privée. Le site sera totalement publique dans quelques semaines.«
Bounty Factory, une riche idée qui vient permettre aux Européens de ne pas s’inféoder aux propositions américaines. « Les participants pourront aussi voir leurs compétences mises en valeur lors de leur recherche d’emploi. Ils seront crédités de points sur YesWeHack« . Côté tarif, les entreprises fixeront le montant du prix. « Nous prenons un petit pourcentage, confirme Korben, Nous serons un intermédiaire entre les deux parties. Cela reste à la discrétion de l’entreprise et de son hacker« . Gros plus de l’opération, les serveurs du projet sont en France, bilan, les espions Américains, Russes, Chinois ne pourront avoir accès aux potentielles informations transitant entre les bidouilleurs et les sociétés. « Et si jamais en France, on nous embête, sourit Korben. On bougera !« .