Bug-bounty-hunter

La chasse aux failles de sécurité cachées

Les chasseurs de bugs recherchent des failles de sécurité et améliorent la sécurité IT des entreprises. Quel est l’intérêt et qu’est-ce qu’un bon programme?

Texte: Andreas Heer, Images: Adobe Stock, 25

Les entreprises investissent une part non négligeable de leur budget informatique dans des mesures de sécurité visant à protéger les données, les applications et les systèmes. Mais cette protection fonctionne-t-elle vraiment et dans quelle mesure l’infrastructure résiste-t-elle aux cyberattaques? Les tests de sécurité constituent un moyen efficace pour vérifier cela. Les attaques ciblées et intentionnelles contre sa propre infrastructure sont révélatrices de sa sécurité réelle, avant que les cybercriminels ne frappent.

 

De telles attaques contrôlées ne peuvent pas seulement être menées par des experts en Security internes. Le savoir-faire disponible et donc la diversité des formes d’attaque déployées pour ces tests d’intrusion peuvent être considérablement élargis en faisant appel à des spécialistes externes supplémentaires. Tel est le but de ce que l’on appelle les «programmes bug bounty», des concours réels avec des prix en argent pour la détection réussie des failles de sécurité.

Les chasseurs performants assurent la sécurité des entreprises

Bien entendu, ces attaques doivent avoir lieu dans un cadre contractuel contrôlé. D’une part, il s’agit de légitimer les attaques et donc de protéger les participants. D’autre part, l’entreprise attaquée a besoin de temps pour corriger la faille. En récompense, les chasseurs de primes 2.0 sont récompensés par des bonus, dont le montant peut varier en fonction de l’effort requis pour une attaque et de la gravité de la faille de sécurité. «Les bug bounties nous aident à trouver les vulnérabilités qui peuvent encore subsister malgré toutes nos mesures et à y remédier», explique Florian Badertscher, responsable du programme bug bounty de Swisscom .

 

Badertscher a dû sortir son chéquier plus d’une fois l’an dernier. Il a versé près de 350 000 francs aux participants. En contrepartie, quelque 400 failles ont été corrigées. Cela vaut la peine. En effet, les coûts et les atteintes à la réputation d’une attaque réussie par des cybercriminels sont susceptibles d’être bien plus importants.

C’est plus qu’une simple question d’argent

Mais qui sont ces «bug bounty hunters», souvent appelés «hackers éthiques» ou «White Hats». Et qu’est-ce qui les motive à participer à de tels programmes? Deux participants de la Swisscom Bug Bounty livrent leurs réponses. L’un d’eux a du mal à coller à l’image que le public se fait d’un «hacker» (une expression qui, soit dit en passant, n’est jamais utilisée dans la conversation avec ces personnes): un étudiant hongrois de 18 ans, Patrik Fábián, qui se présente à notre interview avec des cheveux courts et vêtu d’une chemise. Pourtant, l’année dernière c’est bien lui qui a empoché plus d’un tiers de la somme totale des bug bounties, grâce à ses connaissances et aux faiblesses découvertes chez Swisscom. Bien sûr, l’argent est une incitation, mais ce n’est pas la seule motivation: «Je peux aider les entreprises à mieux protéger leurs données clients, ce qui devient de plus en plus important». Fábián apporte également son soutien bénévole à des projets open source visant à rendre leurs logiciels plus sûrs.

 

Raphaël Arrouas tient à peu près le même discours: «Je peux aider à augmenter la sécurité d’une entreprise. Et chez Swisscom, cela concerne aussi notres propres données». Arrouas, qui a commencé sa carrière en tant que professionnel des tests d’intrusion, travaille maintenant à plein temps comme bug bounty hunter indépendant.

 

Il y a un autre aspect qui intéresse les deux: l’attrait des défis et la curiosité de trouver des failles. Ou comme le dit Fábián: «J’adore trouver de nouvelles surfaces d’attaque que personne n’a encore jamais touchées auparavant».

Qu’est-ce qui caractérise un bon programme bug bounty

La détection des failles de sécurité et la communication qui s’ensuit avec les responsables est ce que Fábián préfère dans les programmes bug bounty. Cet échange est essentiel pour établir un climat de confiance entre les participants et les organisateurs et donc déterminant pour le succès et l’acceptation d’un tel programme. «Je m’attends à ce que les responsables réagissent rapidement et sur un même pied d’égalité», déclare Arrouas.

 

Il apprécie également que la reconnaissance matérielle ne soit pas seulement basée sur la gravité de la faille, mais que l’effort fourni pour la détecter soit également récompensé. Et bien sûr, quand on le reconnaît comme étant celui qui a découvert la faille. «Cela m’aide aussi à consolider ma réputation.» Arrouas n’utilise pas de pseudo pour les bug bounties: «Même pour les white hats, l’anonymat était de rigueur afin de réduire les risques de poursuites judiciaires. Cela demeure important pour des raisons de protection de la vie privée, mais de nombreux membres de la communauté préfèrent désormais publier les articles et les vulnérabilités en utilisant leur vrai nom afin d’améliorer leur réputation et la confiance qu’ils inspirent.»

La protection juridique au service des gentils

Quiconque pénètre dans des systèmes informatiques tiers est punissable. Selon l’article 143bis du Code pénal suisse (CP), ces personnes encourent jusqu’à trois ans de prison. La protection juridique dans le cadre des programmes de primes bug bounty est d’autant plus importante pour protéger les participants contre les poursuites, comme le souligne Arrouas: «La législation suisse étant très restrictive, une clause de protection dans le contrat offre la sécurité et la confiance nécessaires». Autrement, cela pourrait dissuader les participants potentiels. Arrouas ajoute qu’une telle clause protège surtout les personnes bien intentionnées: «Les cybercriminels essaient de toute façon de pénétrer les systèmes».

 

Une telle protection devrait également protéger les participants contre les effets secondaires indésirables, tels que les plantages de système. Malgré tout, Arrouas fait preuve de prudence dans les programmes bug bounty: «Je lance des attaques manuelles, pas automatiques», dit-il. «Je ne souhaite pas que des données personnelles soient accidentellement divulguées.»

 

Arrouas et Fábián sont tous deux convaincus des avantages que de tels programmes bug bounty apportent à l’organisateur: «Un tel crowdsourcing de la sécurité IT offre une meilleure protection et renforce ainsi la confiance des clients». Un programme bug bounty est donc également un signe qu’une entreprise prend la sécurité informatique au sérieux.

Les bug bounty hunters

Raphaël Arrouas

Raphaël Arrouas se consacrait déjà à la cybersécurité et au piratage dans sa jeunesse. Pendant ses études, il a approfondi ses connaissances et a ensuite travaillé comme testeur d’intrusion. Depuis peu, il exerce une activité indépendante en tant que bug bounty hunter.

Patrik Fábián

Fábián s’intéresse aux ordinateurs depuis sa plus tendre enfance. Il a acquis ses connaissances pendant son temps libre avec des programmes en ligne et des vidéos de proof of concept (preuve de la façon dont les failles de sécurité peuvent être exploitées) sur YouTube. A l’issue de sa formation, il souhaite continuer à travailler dans le domaine de la cybersécurité, notamment au sein de sa propre société de sécurité web.

En savoir plus sur ce thème