Tout le monde connait les célèbres barres chocolatées à la noix de coco Bounty. Historiquement, elles furent le premier moyen de « rémunération » utilisé pour remercier les chasseurs de failles. De nos jours, les choses ont quelque peu évolué et pour être clair rien ne vaut une définition, celle fournie par Wikipédia [1] est simple :
Un bug bounty est un programme proposé par de nombreux sites web et développeurs de logiciel qui permet à des personnes de recevoir reconnaissance et compensation après avoir reporté des bugs, surtout ceux concernant des exploits et des vulnérabilités. Ces programmes permettent aux développeurs de découvrir et de corriger des bugs avant que le grand public en soit informé, évitant ainsi des abus.
Des entreprises développant des programmes font donc appel à la communauté des hackers pour trouver des vulnérabilités dans leurs produits et rémunèrent alors les découvreurs. Il s’agit d’une approche cyber-sécurité collaborative. Cette chasse aux bugs peut être effectuée :
- en mode public, auquel cas « n’importe qui » peut découvrir un problème et se faire rémunérer. Le dernier en date étant Microsoft qui lance un programme permanent [2]
- en mode privé où on va alors sélectionner un certains nombre de hackers compétents qui seront là aussi rémunérés en fonction de l’importance de la faille découverte. Se pose bien évidemment un problème de confiance entre l’entreprise et les hackers. Des intermédiaires se proposent de contractualiser la relation entre l’entreprise et les pirates, il s’agit des plateformes de Crounsourcing de bug Bounty. [3]
Cette approche rend la recherche de bugs rapide et à la portée des PME puisque la rémunération est effectuée au fur et à mesure des découvertes.
Le bug bounty permet de mettre en évidence la place de la sécurité dans le développement mais aussi faire ressortir l’impact d’un turn over trop important sur des équipes de développement logiciel. Il s’agit aussi d’une uberisation du pentesting puisque seulement une poignée de découvreurs toucheront des revenus leur permettant de vivre de cette activité.