Bug bounty

Connaissez-vous le concept de “bug bounty” ? Dans le domaine de la sécurité informatique, c’est un concept de plus en plus à la mode, et qui vise à éprouver son système d’information en demandant à des utilisateurs d’en déceler des failles

En début d’année 2019, la poste suisse a lancé un nouveau programme bug bounty dans ce sens, avec, à la clé, des récompenses représentant un montant total de 150 000 dollars. On peut dire que le jeu en vaut la chandelle !

En juin 2019, la messagerie instantanée de l’état français, nommée Tchap, lance également son programme de Bug Bounty, dans le but de trouver d’éventuelles failles.

ITvisions à donc décidé de vous présenter le concept de bug bounty, ses origines et ses enjeux.

Qu’est-ce qu’un bug bounty ?

Un “Bug bounty” est un programme qui invite des utilisateurs du monde entier, y compris des hackers, à déceler des failles dans la sécurité d’un système ou d’une application informatique. 

Lorsque des failles sont détectées, elles donnent lieu à des récompenses. Plus la faille est importante, et plus grande est la récompense. On pourrait comparer un bug bounty à un concours visant à tester la sécurité informatique d’un système.

A quoi sert un bug bounty ?

Pour les entreprises, il s’agit d’un moyen de détecter les failles informatiques de leur système, dans des conditions les plus semblables à la réalité. On peut aussi considérer qu’il s’agit d’un investissement mesuré. L’entreprise met en jeu une certaine somme d’argent qu’elle devra éventuellement verser si des failles sont détectées. Mais cela lui permet de corriger à l’avance ses failles et de se prévenir de préjudices de sécurité plus importants dans l’avenir. 

Pour les pirates, on peut noter, non sans humour, que cela leur permet de gagner de l’argent de façon tout à fait légale, en éprouvant leur capacité et leurs compétences à trouver les failles informatique des systèmes d’entreprises diverses.

Qui a inventé le concept de Bug Bounty ?

Cela fait déjà 24 ans que le concept existe ! En effet le premier bug bounty avait été initié par Netscape, entreprise pionnière en navigateur web. C’était en constatant la ferveur de ses communautés d’utilisateurs face à la résolution des bugs informatique que l’entreprise avait eu l’idée de les faire participer à leur découverte. A noter toutefois qu’à l’époque, les utilisateurs ne remportaient pas d’argent, mais simplement, des goodies.

En 2019, qui utilise le concept de bug bounty ?

Les grands groupes

Le concept de bug bounty séduit les grands groupes et les entreprises du CAC 40. on peut ainsi des entreprises comme Google, Facebook, Microsoft, Yahoo, Paypal, Adobe, Twitter,  Dropbox, Apple, ou encore Western Union, Tesla ou United Airlines.

Les bug bounty se sont généralisés aux USA en 2013, mais il ne sont pas arrivés en France avant l’arrivée de grands piratages, comme ceux qui se sont produits en 2017 sur des entreprises comme Saint-Gobain ou Renault

Les institutions

Plus étonnant, même les institutions s’y mettent : la Ministre française de la Défense Florence Parly a annoncée en janvier dernier que l’armée elle-même prévoit le lancement de son propre programme de bug bounty, suite aux multiples problèmes de sécurité informatique rencontrés dans ce domaine.

De même, la Commission européenne a lancé également en janvier dernier un bug bounty sur une sélection de 15 logiciels open source.

Enfin, en juin 2019, Tchap, la messagerie instantanée de l’état français, a également lancé son programme de Bug Bounty, dans le but de pallier à d’éventuelles fragilités de la sécurité du système. Des primes de 50 à 1 500 €, selon le niveau de vulnérabilité de la faille identifiée, seront distribuées.

Les starts-ups spécialisées

En France, des plates-formes de startup spécialisées ont commencé à fleurir, telle que la plateforme Yogosha (https://www.yogosha.com/) ou la plateforme Yes We Hack (https://www.yeswehack.com).

Pour en savoir plus sur les bug bounty, suivez l’actualité IT Visions !

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici