Skip to main content

Apprenez pourquoi et comment vous mettre au bug bounty, que vous soyez un hacker ou une organisation. Plateformes, programmes, l’aventure commence ici.

C’est un poncif, mais le besoin de cybersécurité des organisations s’accroît d’année en année. C’est un vaste chantier, dont les ramifications sont aussi nombreuses que variées : sécurité de la chaîne d’approvisionnement, authentification, stockage et accès aux données, sécurité des postes de travail, et la liste est encore longue.

Dans cette myriade de sujets de cybersécurité, il y a la détection des vulnérabilités. La sécurité offensive offre aux organisations un arsenal varié pour tester et renforcer leurs actifs numériques. Et parmi ces outils, il y a le bug bounty.

C’est quoi, le bug bounty ?

Le bug bounty est une méthode de détection des vulnérabilités informatiques, qui consiste à utiliser la communauté des hackers éthiques pour tester la sécurité des actifs numériques – les applications, sites web, API, cloud, etc.

C’est une chasse aux bugs qui repose sur une logique de paiement au résultat. Les organisations versent des récompenses monétaires – les bounties donc – aux hackers pour chaque vulnérabilité valide qu’ils parviennent à identifier. Plus la vulnérabilité est critique, plus la prime est importante. Si aucune vulnérabilité n’est détectée, l’organisation n’engage aucune dépense.


E-Book: Bug Bounty, le guide ultime pour un programme réussi

Apprenez comment mettre en place votre Bug Bounty, le rendre attractif et mobiliser les hackers pour identifier des vulnérabilités à haut risque.

TÉLÉCHARGEZ L'E-BOOK !

Qu’est-ce qu’un programme de bug bounty ?

Un programme de bug bounty est tout simplement le programme de sécurité qui entérine la pratique du bug bounty. Il permet de définir les règles de collaboration entre l’organisation et les chercheurs en sécurité. Ces règles peuvent porter sur le périmètre à tester – le scope –, le montant des récompenses proposées, les types de vulnérabilités à rechercher, les restrictions à respecter, etc.

Deux types de programmes : publics et privés

On distingue deux grands types de programmes de bug bounty :

  • Les programmes de bug bounty publics, visibles publiquement sur le web et ouverts à tout le monde ;
  • Les programmes de bug bounty privés (ou programmes sur invitation), qui sont réservés aux seuls chercheurs expressément invités à y participer.

Avec un bug bounty public, le nombre de hackers participants est potentiellement illimité. Mais cela se fait au détriment de la confidentialité du programme – certaines organisations sensibles préfèrent cultiver une forme de secret, les institutions financières ou gouvernementales par exemple. De plus, un bug bounty public ne permet pas de sélectionner les talents, et attirera aussi bien des novices que des hackers chevronnés.

A l’inverse, un bug bounty privé n’est accessible qu’aux chercheurs invités à y participer. Cela permet aux organisations :

  • de décider du nombre de participants ;
  • de leur niveau d’expertise ;
  • et de contrôler la volumétrie des détections et des rapports reçus, et donc la charge de travail des équipes de triage et de remédiation.

L’intérêt du bug bounty

Le bug bounty est une approche du test de sécurité qui présente de nombreux bénéfices pour les organisations, tant et si bien qu’il est difficile de tous les donner ici. Mais on peut citer les principaux :

  • la force du nombre de la communauté des chercheurs, qui permet de multiplier les regards ;
  • la diversité des compétences mobilisées, puisque chaque chercheur vient avec une expertise et des expériences professionnelles uniques ;
  • une approche continue de la cybersécurité, qui permet de tester les actifs tout au long de l’année ;
  • et une détection des vulnérabilités critiques en profondeur, qui demandent du temps et une bonne connaissance des environnements en présence.

Répétons que ce n’est là qu’un aperçu rapide des forces du bug bounty. Pour aller plus sur le sujet, nous vous conseillons de lire l’article suivant :

Qui peut faire du bug bounty ?

Pour faire simple : les organisations et les chercheurs en sécurité peuvent se lancer dans la pratique du bug bounty. Les objectifs poursuivis ne sont évidemment pas les mêmes :

  • Les organisations font du bug bounty pour prendre connaissance des vulnérabilités dans leurs systèmes, afin de renforcer leur niveau de cybersécurité.
  • Les chercheurs font du bug bounty pour identifier ces vulnérabilités dans les systèmes. Leurs motivations sont nombreuses : l’argent bien sûr, mais aussi l’apprentissage et la montée en compétences, l’envie de rendre le monde plus sûr ou tout simplement le défi et le frisson de la recherche.

Peut-on faire du bug bounty son métier ?

Certains experts ont fait du bug bounty leur travail à temps plein, mais c’est loin d’être la majorité des cas. La plupart des chercheurs sont des professionnels déjà en poste – des pentesters de métier par exemple – ou des autodidactes et des étudiants en sécurité informatique. En règle générale, le bug bounty n’est pas une activité à même de générer des revenus stables et réguliers, ce qui en fait souvent une activité annexe plus qu’une profession à temps plein.

Quel salaire attendre du bug bounty ?

Le bug bounty n’est pas une activité salariée, mais une activité indépendante. A l’inverse du pentest, les spécialistes qui font du bug bounty ne sont pas payés pour leur temps de travail, mais pour le fruit de leurs recherches. Il est donc impossible d’estimer les gains moyens liés à la pratique du bug bounty, tant ils dépendent directement :

  • de l’expertise du chercheur et de sa capacité à identifier des vulnérabilités ;
  • de la criticité des vulnérabilités identifiées, qui permet de fixer le montant des primes. Les vulnérabilités mineures génèrent rarement plus d’une centaine d’euros, là où les exploitations les plus critiques peuvent être récompensées de plusieurs dizaines de milliers d’euros ;
  • de la rapidité des organisations à valider les rapports et payer les chercheurs en temps voulu.

Comment faire du bug bounty ?

Là encore, tout dépend de quel côté de la barrière vous êtes : les chercheurs ou les organisations.

Par où commencer en tant que chercheur ?

Pour les chercheurs, il n’y a pas de secret : il faut s’y connaître en sécurité ! On ne trouve pas de vulnérabilités dans les systèmes sans avoir un minimum de connaissances. Mais puisqu’il faut bien commencer quelque part, on donnera deux conseils aux aspirants hackers :

1. Étudiez ! Apprenez un langage de programmation et les bases des technologies du web – les DNS, les règles des navigateurs, les protocoles… il existe des centaines de ressources sur le web pour bien débuter ! Et si vous préférez les contenus vidéos, on vous recommande de jeter un oeil à Stök, NahamSec, LiveOverflow, IppSec et The XSS Rat. Et dans le Youtube Game français, on ne peut que recommander les excellentes chaînes Noobosaurus R3x et HacktBack en français.

2. Et entraînez-vous ! Il existe plusieurs plateformes de formation pour se frotter au hacking éthique, comme TryHackMe, HackTheBox et la PortSwigger Academy. Les programmes de bug bounty publics sont également de bons terrains d’entraînement pour ceux qui ont déjà acquis de bonnes bases.

Bon courage à ceux qui se lanceront dans l’aventure et, d’ici là, on vous laisse avec cette vidéo inspirante de HacktBack : devenir hacker éthique.

Par où commencer le bug bounty en tant qu’organisation ?

Le bug bounty est une méthode de détection des vulnérabilités redoutablement efficace, mais aussi très exigeante pour les organisations.

Disons les choses grossièrement : avec un pentest, il suffit de payer un prestataire et de le laisser faire. Avec le bug bounty, les entreprises doivent investir du temps et des ressources humaines, techniques et financières. Pour être efficace, le bug bounty appelle une bonne compréhension de l’exercice et une bonne connaissance du niveau de sécurité de ses propres environnements.

Il est essentiel de se demander si c’est bien le test le plus pertinent pour vos environnements. Le bug bounty est une approche qui ne convient pas aux produits qui n’ont pas acquis une maturité suffisante en matière de sécurité numérique. On ne le répétera jamais assez, mais il est impératif de passer les actifs au crible d’autres formes de tests – comme le pentest et les scanners automatiques – avant de les soumettre à un bug bounty.

Lire aussi : Pentest vs Bug Bounty, quelle approche choisir ?

Si vous estimez qu’il est temps de faire passer votre sécurité au niveau supérieur : félicitations ! Mais il reste encore une étape importante, à savoir comment construire et mettre en place un programme de bug bounty efficace. Les sujets à aborder ici sont légion :

  • le scope du programme ;
  • le triage des rapports de vulnérabilités ;
  • la sélection des chercheurs, et la communication avec la communauté ;
  • le montant des récompenses ;
  • la gestion du programme par vos équipes internes ;
  • l’approche des remédiations pour vos équipes de développement.

Ce n’est là qu’un aperçu des questions à se poser avant de foncer tête baissée dans le bug bounty. Et comme vous pouvez le constater, il y a matière à réflexion. Aussi, pour ceux qui voudraient sauter le pas, nous avons rédigé un guide complet du bug bounty pour un programme couronné de succès.

Par ailleurs, il peut être intéressant de lire des témoignages d’entreprises déjà rompues à l’exercice. On vous partage ici les expériences de certains de nos clients, qui font du bug bounty avec succès depuis plusieurs années.

Ils font du bug bounty, ils racontent.

Bien choisir sa plateforme de bug bounty

Que l’on soit un chercheur ou une organisation, la pratique du bug bounty est conditionnée par le recours à une plateforme de bug bounty. Dans un cas comme dans l’autre, il est important de bien choisir la plateforme à utiliser.

C’est quoi, une plateforme de bug bounty ?

Une plateforme de bug bounty est une plateforme en ligne qui permet la collaboration entre les entreprises et les chercheurs en sécurité dans le cadre d’un programme de bug bounty. Elle sert d’intermédiaire entre les deux parties, en fournissant un espace sécurisé où les chercheurs peuvent signaler les vulnérabilités découvertes et où les entreprises peuvent gérer ces rapports.

Les différences entre plateformes publiques et privées

Il existe deux grands types de plateformes de bug bounty :

  • Les plateformes publiques. Tous les chercheurs peuvent s’inscrire librement sur ces plateformes. Tout un chacun peut créer un compte sur ces plateformes, sans regard pour ses compétences, son expertise ou souvent son identité. A ce jour, la très grande majorité des plateformes de bug bounty sont des plateformes publiques – c’est le modèle historique.
  • Les plateformes privées. Elles sont sélectives, et les chercheurs qui souhaitent les rejoindre et participer à leurs programmes de bug bounty doivent d’abord satisfaire à différents critères. Le plus souvent une série d’épreuves techniques, des contrôles d’identité et des tests pédagogiques pour évaluer leur capacité à communiquer avec les clients.

Yogosha est une plateforme privée – la seule en Europe. Cela signifie deux choses :

  1. Notre communauté de chercheurs est sélective. Chaque membre de la Yogosha Strike Force a prouvé sa valeur en justifiant son identité et en passant nos tests d’entrée – qui sont pour le moins exigeants, puisque seuls 20% des participants les réussissent. (Cf. Comment rejoindre Yogosha ?)
  2. Tous nos programmes de bug bounty sont confidentiels, et les chercheurs sont invités à participer en fonction de leurs compétences, des objectifs du programme et des technologies en présence.

Pour en savoir plus sur les différences entre plateformes publiques et privées – qui ont toutes leur rôle à jouer dans l’écosystème de la sécurité collaborative –, nous vous conseillons de lire notre article dédié.

Lire aussi : Bug Bounty, différences entre plateformes publiques et privées

Yogosha est spécialisé dans les tests de sécurité offensifs, dont le bug bounty privé depuis 2015 – un exercice pour lequel nous sommes leader en Europe. Autant vous dire qu’on commence à maîtriser notre affaire.

N’hésitez pas à nous contacter si vous souhaitez en savoir plus sur le bug bounty privé ou nos tests OffSec en général.