Table of Contents
Découvrez comment choisir la bonne plateforme de bug bounty pour votre organisation en examinant les différences entre les plateformes privées et publiques.
Le bug bounty est une méthode de détection des vulnérabilités qui a fait ses preuves. Mais si l’exercice en temps que tel n’est plus à présenter, le fonctionnement des plateformes de bug bounty peut s’avérer quelque peu opaque pour les non-initiés.
Il existe deux types de plateformes de bug bounty :
- Les plateformes publiques – les plus nombreuses, puisque c’est là le modèle historique.
- Les plateformes privées, qui se comptent sur les doigts d’une main.
On ne vous fera pas un inventaire à la Prévert des différents acteurs, mais vous trouverez ici une liste de toutes les plateformes de bug bounty.
Comprendre les différences pour bien choisir sa plateforme de bug bounty
Les plateformes publiques et privées viennent avec leur propre fonctionnement, leurs avantages et leurs inconvénients. Leur mécanique est un sujet complexe, dans lequel il est facile de se perdre, quelque part entre les réflexions sur la sécurité collaborative et la rhétorique marketing de chaque acteur.
Cet article a donc pour but d’aider les entreprises et les institutions à faire un choix éclairé lors de la sélection d’une plateforme de bug bounty.
Nous ne sommes pas impartiaux sur la question, donc nous ne pourrons évidemment pas vous dire quelle est la meilleure plateforme. En revanche, nous pouvons vous donner des clés de compréhension des rouages des plateformes publiques et privées, et de leur philosophie, afin que vous puissiez vous forger votre propre opinion.
Précisons qu’on ne s’attardera pas ici sur la nature du bug bounty, mais bien sur les plateformes de bug bounty elles-mêmes. Aussi, si vous n’êtes pas familier avec le bug bounty comme test de sécurité, nous vous conseillons de lire l’article suivant avant d’aller plus loin.
Le narratif incohérent des “armées de hackers éthiques”
Les plateformes de bug bounty publiques se sont construites sur le même narratif : il existe une armée entière de hackers éthiques tapie dans l’ombre, prête à porter secours à n’importe quelle organisation. Il suffit de regarder les messages qu’elles véhiculent : “our skilled hacker community is over one million strong“,” “access a virtually unlimited pool of ethical hackers“, “it takes a crowd to defeat a crowd” – ok, il faut admettre que celui-ci est bien trouvé !
Ces messages partent d’un constat juste : il existe une pénurie mondiale de talents dans la cybersécurité. Personne ne peut argumenter contre ça, c’est une réalité – cf. cet article de Forbes. Mais face à ce problème, les plateformes publiques avancent une solution qui ne peut pas exister. S’il y a une pénurie de talents, alors d’où viennent ces armées d’experts ? Vous conviendrez qu’il y a matière à réflexion.
Oui, le bug bounty a pour lui la force du nombre, et il permet de mobiliser plusieurs chercheurs pour tester un même périmètre. Mais il y a un monde entre dire que le bug bounty permet de mobiliser un nombre conséquent de hackers, et dire que le bug bounty donne accès à un vivier inépuisable de spécialistes.
Le véritable enjeu est l’accès aux bons chercheurs, pas leur nombre
Là où toutes les plateformes s’accordent, c’est qu’il est essentiel d’adresser le manque de professionnels qualifiés en cybersécurité. Mais ce narratif des armées de hackers, qu’il soit fondé ou non, n’est pas adapté au véritable besoin des entreprises, qui est un accès à la qualité plus qu’à la quantité.
Le véritable enjeu pour pallier le déficit de compétences est l’accès aux bons experts au bon moment, pas l’accès à un vivier inépuisable de chercheurs au savoir-faire disparate. Ce dont les entreprises ont besoin, c’est d’être mis en relation avec des chercheurs qualifiés, et pas avec des milliers d’aspirants.
“Par l’intermédiaire de Yogosha, on a réussi à trouver des gens talentueux.”
– Éric Vautier, RSSI chez Groupe ADP (Paris Aéroport)
Deux modèles différents pour le recrutement des chercheurs
Cette différence de vision dans la façon d’aider les organisations à surmonter le déficit de compétences est au cœur même de la dichotomie entre les plateformes publiques et les plateformes privées. En effet, la principale différence entre les deux types de plateformes est l’écart de taille massif entre leurs communautés de chercheurs.
Les plateformes publiques promettent des communautés de 40.000 à 1 million de chercheurs, là où les plateformes privées n’annoncent guère plus de 2.000 experts. Le fossé est considérable et le choix semble vite fait. Mais il faut bien comprendre que ces chiffres ne cachent pas la même réalité.
Ne nous faites pas dire ce que nous n’avons pas dit : les chiffres avancés par les plateformes publiques pour parler de leur communauté sont bien réels – ou du moins nous ne nions pas qu’ils le sont. Mais pour comprendre pourquoi les communautés des plateformes publiques sont si conséquentes, il faut d’abord comprendre leur modèle de recrutement des hackers.
Plateformes publiques : des inscriptions libres et ouvertes à tous
Les inscriptions sur les plateformes de bug bounty publiques sont libres – oui, d’où leur nom de “plateformes publiques”.
Autrement dit : tout un chacun peut se créer un compte de chercheur – débutant comme confirmé – et accéder à un certain nombre de programmes de bug bounty. On vous encourage à essayer par vous-même. L’accès à ces plateformes n’est soumis à aucun test de compétences et, pour certaines, aucune vérification d’identité.
Plateformes privées : une sélection des chercheurs sur épreuves
A l’inverse, les plateformes privées sont sélectives. C’est à dire qu’il n’est pas possible de participer à leurs programmes de bug bounty avant d’avoir réussi un certain nombre d’épreuves techniques et de vérifications d’identité.
A titre d’exemple, vous pouvez créer un compte sur la plateforme Yogosha, et vous constaterez que vous n’avez accès à aucun programme. Pour cela, il vous faudra d’abord prouver votre identité et demander à passer les tests d’entrée pour rejoindre la Yogosha Strike Force – et les réussir, bien évidemment.
Plateformes publiques : un nombre d’inscrits qui ne reflète pas leur expertise
Le manque de sélection à l’entrée des plateformes publiques implique une chose : la difficulté à prouver l’expertise des chercheurs. Quand une plateforme publique dit avoir 50.000 hackers, elle dit surtout que 50.000 comptes ont été créés sur sa plateforme. Si tout le monde peut s’inscrire comme chercheur, vous conviendrez que le nombre ne peut pas être le reflet d’une quelconque qualité – dans le bon comme dans le mauvais.
Oui, il y a d’excellents chercheurs inscrits sur les plateformes publiques, dont certains sont parmi l’élite mondiale. Mais rien ne garantit que ce sont ces experts qui travailleront sur vos périmètres. Ils ne représentent qu’une partie de la communauté globale des plateformes publiques, qui se compose également de débutants, d’étudiants, de chercheurs au niveau moyen, de script kiddies et de comptes inactifs. Bref, il y a de tout : du très bon, mais aussi du très mauvais.
Les chercheurs inexpérimentés, un problème pour les organisations
Pour une organisation, la participation des chercheurs les moins qualifiés peut avoir plusieurs conséquences plus ou moins graves.
La première est bien évidemment le manque de pertinence des rapports de vulnérabilités. Certaines entreprises ont atteint un niveau de sécurité tel – on pense notamment aux grands groupes, aux banques ou aux gouvernements – qu’il est évident que les chercheurs les plus novices ne leur seront d’aucune aide. La véritable force du bug bounty est la capacité des meilleurs éléments à identifier les vulnérabilités critiques en profondeur, et pas à submerger les entreprises de détections similaires à celles d’un scanner automatique correctement calibré.
Les détections des chercheurs débutants peuvent :
- Au mieux soulever des évidences – “avez-vous entendu parler de Log4j ?”, le HSTS mal paramétré, les secure cookies, j’en passe et des meilleurs.
- Au pire générer du bruit au point d’accaparer les équipes de sécurité internes.
En effet, un nombre trop important de rapports de vulnérabilités entraîne un travail de triage qui peut être fastidieux. Et si les rapports s’avèrent ne pas être pertinents, c’est tout bonnement du temps perdu pour les équipes en charge du tri – souvent un membre de l’équipe sécurité de l’organisation en question.
Un autre problème avec les hackers en herbe est qu’ils peuvent perturber les actifs en production (site web, application mobile, etc.) avec des attaques irraisonnées et de faible qualité, ce qui peut entraîner une dégradation des temps de réponse voire faire tomber l’ensemble du système sans qu’il soit possible d’identifier facilement le responsable ou de le bloquer. Ce qui nous amène tout droit au point suivant : l’identification des chercheurs, aussi bien légale que technique.
L’identité des chercheurs en sécurité
Outre l’expertise des hackers, il faut évoquer le sujet de leur identité. La vérification de l’identité des hackers éthiques pose des questions de confidentialité, qui peuvent être un problème ou non selon la sensibilité des organisations. Le hacking éthique a prospéré grâce à un certain anonymat des chercheurs, qui a souvent été bénéfique pour leur protection. C’est un vaste sujet, qui mérite son propre traitement, et il ne s’agit pas ici de stigmatiser l’anonymat des hackers.
Néanmoins, toutes les entreprises ne sont pas forcément à l’aise avec l’idée que de parfaits inconnus viennent éprouver les défenses de leurs systèmes. Au-delà des enjeux de confidentialité, l’identité des chercheurs pose des questions légales dans de nombreux pays, dont la France.
Ici, il vous appartient de vérifier comment chaque plateforme adresse la question. Toutes les plateformes de bug bounty privées vérifient l’identité de leurs chercheurs, mais toutes les plateformes publiques n’en font pas autant – ou alors sous certaines conditions, par exemple à l’occasion d’une invitation à un programme sensible.
En France, la vérification de l’identité par une procédure KYC (Know Your Customer) et le passage par un compte séquestre sont obligatoires. À toutes fins utiles, précisons donc que l’identité de chaque chercheur de la Yogosha Strike Force – français ou non – a été vérifiée par une procédure KYC menée par un tiers indépendant.
“Le KYC Yogosha s’est révélé vraiment intéressant. On se contacte, on peut avoir des débats.”
– Antonin Garcia, RSSI chez Veepee
D’un point de vue technique, l’incapacité à identifier l’activité des chercheurs peut aussi soulever des problématiques pour les équipes métier, a fortiori sur des environnements en production. Après tout, comment distinguer l’activité d’un hacker éthique de celle d’un véritable attaquant ? Si possible, le mieux reste de mettre une copie miroir à la disposition des chercheurs, sans données sensibles. Précisons ici que notre VPN permet également aux équipes SOC d’identifier facilement tout le trafic provenant de nos hunters.
Le taux d’activité des communautés de chercheurs
Toutes les plateformes de bug bounty communiquent le nombre de chercheurs inscrits, mais rares sont celles qui communiquent le taux d’activité de leur communauté.
Une chercheuse qui s’est inscrite il y a 7 ans est-elle encore active ? Peut-être que oui, ou peut-être qu’elle a trouvé un emploi, qu’elle utilise une autre plateforme, ou qu’elle a simplement quitté le monde du hacking éthique.
Un hacker débutant qui s’est inscrit pour s’entraîner est-il toujours présent après plusieurs mois ? Peut-être est-il devenu un brillant expert, et un membre actif et reconnu. Ou peut-être qu’il a abandonné son parcours dans la sécurité offensive, car c’est un apprentissage difficile et exigeant dont tout le monde ne voit pas le bout.
Le taux d’activité des plateformes est un sujet primordial, puisqu’il détermine l’activité de leurs programmes de bug bounty. Sans chercheurs actifs, pas d’activité, et pas de vulnérabilités découvertes – et c’est une réalité qui vaut pour toutes les plateformes.
E-Book: Bug Bounty, le guide ultime pour un programme réussi
Apprenez comment mettre en place votre Bug Bounty, le rendre attractif et mobiliser les hackers pour identifier des vulnérabilités à haut risque.
Deux questions pour bien choisir sa plateforme de bug bounty
Si vous êtes une organisation qui envisage de faire du bug bounty, il y a donc deux questions à poser à une plateforme qui vous promet plusieurs milliers de chercheurs :
- Comment pouvez-vous garantir l’expertise des chercheurs qui travailleront sur mes périmètres ?
- Quelle est la part de chercheurs actifs dans votre communauté au cours des derniers mois ?
Si vous peinez à avoir des réponses convaincantes, vous saurez à quoi vous en tenir.
De notre côté, nous pouvons vous répondre ici même, puisque c’est l’alliance de l’activité et de l’expertise qui fait la force de notre communauté.
1. Yogosha garantit l’expertise des chercheurs grâce à une série d’épreuves pratiques et pédagogiques, qui évaluent aussi bien leurs compétences techniques que leur capacité à communiquer clairement et efficacement avec nos clients. Nos tests d’entrée sont exigeants, et seulement 20% des candidats en moyenne rejoignent la Yogosha Strike Force chaque mois. (Cf. Comment rejoindre Yogosha?)
2. Nous faisons la course à l’activité, pas la course à “qui a la plus grosse communauté”. A ce jour, la Yogosha Strike Force oscille entre 800 et 1000 membres actifs tous les mois – oui, les hackers aussi ont des vacances d’été –, et nous en sommes fiers. Cette communauté sélective, restreinte et active est le reflet direct de notre promesse aux organisations : la solution au déficit de compétences n’est pas un accès à des milliers de chercheurs, mais bien une mise en relation avec les bons experts au bon moment.
L’astuce des programmes de bug bounty privés, ou sur invitation
Face à cette question de la sélection des chercheurs, la réponse traditionnelle des plateformes publiques sont les programmes de bug bounty privés, parfois dits “sur invitation”. Ici, il faut être attentif car c’est cette double utilisation du mot “privé”, pour parler des programmes ET des plateformes, qui peut prêter à confusion.
Un programme de bug bounty privé (ou sur invitation) est un programme qui n’est pas ouvert à l’ensemble de la communauté d’une plateforme, mais seulement aux chercheurs expressément invités à y participer. Aujourd’hui, toutes les plateformes, publiques comme privées, proposent du bug bounty privé. Mais ce terme ne signifie pas la même chose en fonction de la plateforme qui l’utilise.
Le bug bounty privé avec une plateforme publique
Un programme de bug bounty privé conduit sur une plateforme publique permet de sélectionner des chercheurs au sein d’une communauté qui est elle-même publique et ouverte à tous.
Autrement dit, pour les plateformes publiques, les programmes sur invitation sont un premier niveau de sélection des hackers selon des critères variables ; comme leur notoriété et leurs performances passées sur la plateforme en question, ou leur accointance avec les technologies en présence.
Le bug bounty privé avec une plateforme privée
Un programme de bug bounty privé conduit sur une plateforme privée permet de sélectionner des chercheurs au sein d’une communauté sélective qui a déjà opéré un premier tri avec une évaluation initiale de l’expertise des chercheurs.
Pour les plateformes privées, les programmes sur invitation sont donc un deuxième niveau de sélection puisque les compétences techniques des chercheurs ont déjà été évaluées. Les programmes sur invitation permettent de prendre en compte d’autres facteurs – ajuster le nombre de participants, choisir les chercheurs qui maîtrisent mieux telle ou telle technologie en fonction des spécificités du programme, etc.
Toutes les plateformes ont un rôle à jouer dans la sécurité collaborative
Là, vous commencez sûrement à vous dire que cet article est un réquisitoire contre les plateformes publiques. Hé bien figurez-vous qu’on a aussi du bien à dire.
Les plateformes publiques, une porte d’entrée sur le hacking éthique
Il n’est pas question ici de dénigrer les hackers inscrits sur les plateformes publiques, mais de mettre en lumière certains points de communication de ces plateformes pour parler de leur communauté. On le répète haut et fort : il y a d’excellents chercheurs sur les plateformes publiques, mais tous les chercheurs inscrits ne sont pas excellents. La nuance est importante.
Certains hackers sont de véritables génies de l’OffSec, d’autres sont tout juste moyens. D’autres encore font leurs premières armes dans la cybersécurité, en tant qu’étudiants ou autodidactes. Et c’est très bien, la communauté du hacking éthique a besoin de cette diversité. Sans cette diversité des chercheurs, le hacking éthique est voué à disparaître. Et c’est là que les plateformes publiques ont un rôle essentiel à jouer – un rôle que les plateformes privées comme nous ne pourront jamais remplir.
Un rôle de formation des experts de demain
Les plateformes publiques ont un rôle de formation à jouer dans la sphère du hacking éthique. Les aspirants chercheurs ont besoin d’un endroit où s’entraîner, s’améliorer et perfectionner leurs approches et techniques. Le hacking éthique a besoin de plateformes ouvertes à tout le monde, pour que les futurs talents de demain puissent émerger.
Oui, il existe aussi des plateformes de formation comme HackTheBox et la PortSwigger Academy. Elles sont précieuses pour l’écosystème du hack, et permettent de se frotter à des exercices divers et variés. Mais les plateformes de bug bounty publiques sont elles aussi un vecteur d’apprentissage important, puisque :
- elles sont ouvertes à tous les chercheurs, débutants comme chevronnés ;
- elles sont gratuites d’utilisation pour tous les chercheurs ;
- elles mettent à disposition des programmes de bug bounty publics qui peuvent servir d’entraînements en situation réelle.
Sans les plateformes publiques qui assurent la montée en compétences des chercheurs, la pénurie de talents finirait inévitablement par s’accentuer – et les plateformes privées auraient moins d’experts à recruter. Mais sans les plateformes privées, certaines organisations aux besoins en sécurité particulièrement exigeants ne pourraient pas s’essayer à l’exercice du bug bounty dans sa forme la plus rigoureuse.
Finalement, le bug bounty dépend d’un écosystème fragile – celui du hacking éthique – dont l’avenir et la vitalité dépendent des plateformes et des chercheurs eux-mêmes, mais aussi de la position des organisations et des gouvernements à l’égard de cette pratique. Ce n’est pas le sujet de ces quelques lignes, mais on pourrait ici parler de l’importance des hackers éthiques comme lanceurs d’alerte, et du devoir des Etats à leur garantir une protection juridique digne de ce nom.
Ils font du bug bounty, ils racontent.
Alors, plateformes publiques ou privées, quel est le meilleur modèle ?
Il existe deux approches du bug bounty, qui tentent de répondre à un seul et même problème : le besoin des organisations à trouver des professionnels de la cybersécurité.
- Les plateformes de bug bounty publiques répondent par la quantité, en avançant des communautés ouvertes à tous de plusieurs milliers de chercheurs à l’expertise variable.
- Les plateformes privées, comme Yogosha, ont choisi de répondre par la qualité. Leurs communautés sont certes beaucoup plus restreintes, mais tous leurs membres ont été sélectionnés à l’issue de tests techniques et pédagogiques en plus de contrôles d’identité stricts.
Alors oui, on défend notre bout de pain car nous sommes persuadés que notre approche est la bonne. On le répète, mais le véritable enjeu pour surmonter le déficit de compétences est la mise en relation avec les bons chercheurs au bon moment, et non l’accès à d’immenses viviers de hackers aux compétences disparates.
Mais la réalité des choses reste la même : les plateformes publiques et privées proposent deux approches du bug bounty, qui sont deux solutions différentes à un même défi : le déficit de compétences dans la cyber.
Finalement, la vraie question pour une organisation n’est pas de savoir quel modèle de plateforme est le meilleur, mais plutôt de savoir lequel lui correspond le mieux. C’est là une réflexion pour tous les responsables de la sécurité qui envisagent le bug bounty. Dans quelle approche, privée ou publique, vous reconnaissez-vous le plus ? Quelle est la plus compatible avec vos besoins en matière de sécurité ?
À celles et ceux qui se reconnaissent davantage dans le modèle privé et sélectif, nous n’avons qu’une dernière chose à dire.
Yogosha est la seule plateforme entièrement privée à proposer du bug bounty en Europe, point.
