Bonjour à tous et bienvenue dans le ZD Tech, le podcast quotidien de la rédaction de ZDNet. Je m’appelle Louis Adam et aujourd’hui je vais vous expliquer ce que sont les programmes de bug bounty et pourquoi des entreprises sont prêtes à verser des sommes d’argent considérables à ceux qui parviennent à les pirater.

Dans la plupart des cas, pirater une entreprise peut vous causer des ennuis. Sauf si vous avez sa bénédiction !

C’est plus ou moins le principe des programmes de "bug bounty", "prime au bug" en français. L’objectif de ces programmes est de récompenser les chercheurs en sécurité externes à l’entreprise qui lui signalent des bugs ou des vulnérabilités, lui permettant ainsi de les corriger.

A l’origine, le bug bounty vise à résoudre un problème rencontré par les chercheurs en sécurité et les entreprises : lorsqu’un chercheur découvre une vulnérabilité dans un logiciel, par exemple dans un système d’exploitation comme Windows, la bonne chose à faire serait de la communiquer à Microsoft afin de la corriger.

Mais cela n’a rien d’évident. Tout d’abord, il faut trouver la bonne personne à contacter. Puis, s’assurer que celle-ci comprend bien la portée de la vulnérabilité. Puis il faut attendre que l’entreprise soit en capacité de produire un correctif, de préférence efficace, et qu’elle le diffuse à ses clients. Et pour leur peine, les chercheurs à l’origine de la découverte peuvent estimer mériter une récompense, qu’il faudra négocier avec l’entreprise en question. 

Mais on découvre des vulnérabilités tous les jours et dans tous les types de produits !

Alors, pour simplifier ce processus parfois fastidieux, la pratique du bug bounty a commencé à se démocratiser au début des années 2010. A cette époque, certaines sociétés se dotent de barèmes de récompenses et de formulaires de contacts afin de canaliser les découvertes de vulnérabilités provenant de chercheurs externes. Des sociétés comme HackerOne, ou en France YesWeHack, se spécialisent sur le sujet et proposent aux entreprises de leur fournir ce type de programme "clé en main".

Pour les entreprises, disposer d’un bug bounty présente des avantages non négligeables : elles peuvent par exemple définir avec précision les programmes et les services couverts, et les sommes qui seront reversées aux chercheurs. Cela leur permet surtout de s’assurer que la vulnérabilité reste confidentielle le temps qu’un correctif soit développé.

Pour les chercheurs, cela permet de faciliter la prise de contact et l’obtention d’une récompense, ce qui leur permet de passer moins de temps sur ces étapes et de se concentrer sur la recherche de vulnérabilités.

C’est un premier pas, mais cela n’a rien d’une panacée : les entreprises peuvent choisir de privilégier certains bugs ou certains produits plutôt que d’autres, ce qui rend les programmes plus ou moins attractifs. Elles peuvent aussi traîner des pieds pour sortir un correctif ou payer un chercheur à un prix minimum.

Mais pour ce genre de failles, la concurrence est rude. Ainsi, Apple paiera jusqu’à 1 million de dollars pour une vulnérabilité majeure dans son système d’exploitation mobile iOS. Mais les revendeurs de failles zero-day, eux, promettent le double...

Et voilà, on a fait le tour du sujet. Pour en savoir plus, rendez-vous sur
ZDNet.fr. Et retrouvez tous les jours un épisode du ZD Tech sur vos plateformes

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.