Il est difficile aujourd’hui de démêler le vrai du faux au sujet des plateformes de bug bounty. Face à l’émergence et au développement rapide de ces plateformes de sécurité collaborative, les idées préconçues se sont multipliées. Le hacking éthique offre aux entreprises la possibilité de renforcer leurs systèmes de défense ainsi que de limiter au maximum toutes vulnérabilités. Mais pour certains, le hacking éthique reste un domaine peu connu, voire méconnu.
Qu’est-ce qu’une plateforme de bug bounty ? Comment les entreprises peuvent-elles en tirer profit afin d’améliorer leur cyberdéfense? Afin de pouvoir mieux appréhender le hacking éthique et les plateformes de bug bounty, il est intéressant d’identifier les quatre principales idées reçues sur le sujet dans le but de les démystifier, d’informer et de partager les meilleures pratiques.
Mythe n°1 :
les programmes de bug bounty doivent être publics
Les plateformes de bug bounty permettent aux organisations de challenger la qualité et la sécurité de leurs solutions via un programme de sécurité sponsorisé. Ces programmes permettent de garantir la participation de hackers éthiques professionnels et de bénéficier d’une surveillance 24/24 et 7/7, dans le but de détecter toute vulnérabilité qui aurait pu passer inaperçue. Les hackers motivés et créatifs sortent souvent des sentiers battus. Ils interviennent de manière intelligente et contribuent à améliorer les stratégies de cybersécurité en vigueur.
Les programmes publics de bug bounty (les VDP : Vulnerability Disclosure Program) sont un moyen de prouver publiquement le degré de sécurité des solutions proposées par une organisation.« Si vous pensez que notre service n’est pas sûr, nous vous mettons au défi de trouver un bug !” Il n’est pas nécessaire cependant que tous les programmes soient publics. En réalité, la plupart des programmes de bug bounty s’avèrent être privés.
Au sein d’un programme privé, un comité réduit de hackers est invité à rechercher des failles. Les critères de sélection sont généralement basés sur l’expérience, les compétences, l’emplacement et la disponibilité. Chaque rapport, chaque participant, chaque récompense de bug bounty, chaque aspect du programme reste entièrement privé. La plupart des organisations commencent par adopter un programme privé, puis en parlent publiquement une fois le processus de gestion des vulnérabilités bien assimilé, le budget des primes établi, les équipes juridiques et marketing informées, et après avoir simplifié les communications DevSecOps.
Les entreprises ne doivent pas hésiter à communiquer ouvertement au sujet du hacking éthique, car elles peuvent en retirer de nombreux avantages. Les entreprises qui s’expriment librement sur le sujet de la sécurité sont perçues comme ouvertes et transparentes. Cette approche leur permet de montrer qu’elles se soucient des données de leurs clients et qu’elles font tout ce qui est en leur pouvoir pour remédier aux vulnérabilités. Enfin sans aucun doute, l’un des principaux avantages d’en parler publiquement et d’accroître les contributions est d’attirer les meilleurs talents. Les bug bounty rendus publics démontrent que la sécurité est prise au sérieux et qu’elle doit être une priorité.
Mythe n°2 :
les bug bounty doivent être menés à longueur d’année
Si certaines organisations choisissent d’exécuter des programmes de bug bounty en continu, beaucoup optent également pour des challenges limités dans le temps. Ces types de programmes impliquent des tests sur un périmètre défini, souvent en utilisant un nombre déterminé de hackers avec un engagement à court terme.
Les programmes de bug bounty sont personnalisables. Il est facile de calibrer un programme de bug bounty privé de manière à ce que le nombre de rapports reçus n’excède pas la capacité de traitement. Il est également possible de gérer le budget et le temps imparti. Cela permet aux entreprises de savoir quand les tests sont déployés et de préparer les équipes informatiques.
Cette approche offre un excellent moyen de découvrir les prémisses du hacking éthique, car une fois les équipes de sécurité engagées, l’entreprise peut tendre vers un engagement continu. Ce type de stratégie permet également aux petites organisations ayant des équipes informatiques réduites de tirer profit du hacking éthique, dans la mesure où elles seront capables d’anticiper des rapports de vulnérabilité. Tout le monde, start-up à multinationale peut bénéficier d’une sécurité renforcée par des hackers éthiques.
Mythe n°3 :
Vous devez accorder des primes pour travailler avec des hackers professionnels
Cela va fortement dépendre du programme que vous souhaitez mettre en œuvre. Un programme de divulgation des vulnérabilités (VDP) est un moyen d’avoir un retour sur les vulnérabilités, sans la contrepartie d’une récompense financière. Similaire à un numéro d’urgence sur Internet, ce type de programme met à disposition un canal pour signaler et recevoir les urgences numériques.
L’objectif premier d’un VDP est de recevoir gratuitement des rapports de vulnérabilités provenant de chercheurs en sécurité, externes à l’entreprise. Les entreprises peuvent ainsi éviter quelques surprises comme la divulgation d’une vulnérabilité sur Twitter ou via le service client. Nombreux sont les gouvernements et entreprises qui hébergent une plateforme de VDP car elle leur permet d’instaurer un dialogue avec le public et d’améliorer leur sécurité. Après tout, aucun citoyen n’aimerait que ses données soient exposées, et les hackers éthiques auront souvent tendance à valoriser leurs compétences tout en venant en aide aux organisations publiques.
Il existe d’autre part un marché concurrentiel de bug bounty, en raison de l’incitation financière qui y est corrélée. La prime moyenne versée est de 800 $, il arrive cependant qu’elles soient inférieures à ce montant. D’autres sont beaucoup plus élevées, pouvant aller jusqu’à 1 000 000 $. Le montant dépend souvent des compétences et des efforts requis pour détecter le bug.
Mythe n°4 :
Le bug bounty n’encourage pas les développeurs à communiquer avec les hackers
Chaque bug corrigé rend la vie numérique plus sûre, et ce sont les développeurs qui réalisent cette tâche essentielle. Les développeurs ne veulent pas se plonger dans des rapports PDF de plus de cent pages. Ils ne souhaitent pas lire les bienfaits d’un outil non-pertinent. Et il est peu probable que les développeurs assistent à un séminaire en ligne de 90 minutes à 9h du matin pour examiner les résultats d’un test d’intrusion.
Pour toutes ces raisons, il existe des plateformes mettant en relation les développeurs et les hackers informatiques en temps réel. Certaines plateformes de bug bounty permettent de “tagger” les personnes, d’attribuer une vulnérabilité à différents groupes et d’insérer des sous-traitants et fournisseurs à un rapport. Une méthode qui contribue à rendre la communication et la collaboration aussi optimisées et simples que possible.
Tandis que “le logiciel dévore le monde” et que l’interconnexion des systèmes devient la norme, penser qu’il est possible de sécuriser ses systèmes en interne s’apparente à une vision dépassée de la sécurité. Bien évidemment, la découverte et la divulgation de vulnérabilités doit être gérée différemment pour une entité militaire, un service public, une entreprise du secteur industriel ou un simple site vitrine. Mais toutes les organisations, quelle que soit leur taille, peuvent bénéficier des avantages offerts par la sécurité collaborative. Le bug bounty est la partie la plus visible de cette sécurité mais elle n’est pas la seule. Les options sont nombreuses et la qualification des vulnérabilités demande temps et expertise. Pour ces raisons, lorsque l’on souhaite améliorer la sécurité de sa plateforme ou de son applicatif, il est important de bien comprendre les options possibles et de se faire accompagner.
___________________
Par Hugues Masselin, Consultant en bug bounty pour HackerOne France.