Bug Bounty : pourquoi en faire, et par où commencer ?

Qu’est-ce qu’un programme de bug bounty ?

Un programme de bug bounty est tout simplement le programme de sécurité qui entérine la pratique du bug bounty. Il permet de définir les règles de collaboration entre l’organisation et les chercheurs en sécurité. Ces règles peuvent porter sur le périmètre à tester – le scope –, le montant des récompenses proposées, les types de vulnérabilités à rechercher, les restrictions à respecter, etc.

Deux types de programmes : publics et privés

On distingue deux grands types de programmes de bug bounty :

• Les programmes de bug bounty publics, visibles publiquement sur le web et ouverts à tout le monde ;
• Les programmes de bug bounty privés (ou programmes sur invitation), qui sont réservés aux seuls chercheurs expressément invités à y participer.

Avec un bug bounty public, le nombre de hackers participants est potentiellement illimité. Mais cela se fait au détriment de la confidentialité du programme – certaines organisations sensibles préfèrent cultiver une forme de secret, les institutions financières ou gouvernementales par exemple. De plus, un bug bounty public ne permet pas de sélectionner les talents, et attirera aussi bien des novices que des hackers chevronnés.

A l’inverse, un bug bounty privé n’est accessible qu’aux chercheurs invités à y participer. Cela permet aux organisations :

• de décider du nombre de participants ;
• de leur niveau d’expertise ;
• et de contrôler la volumétrie des détections et des rapports reçus, et donc la charge de travail des équipes de triage et de remédiation.

L’intérêt du bug bounty

Le bug bounty est une approche du test de sécurité qui présente de nombreux bénéfices pour les organisations, tant et si bien qu’il est difficile de tous les donner ici. Mais on peut citer les principaux :

• la force du nombre de la communauté des chercheurs, qui permet de multiplier les regards ;
• la diversité des compétences mobilisées, puisque chaque chercheur vient avec une expertise et des expériences professionnelles uniques ;
• une approche continue de la cybersécurité, qui permet de tester les actifs tout au long de l’année ;
• et une détection des vulnérabilités critiques en profondeur, qui demandent du temps et une bonne connaissance des environnements en présence.

Répétons que ce n’est là qu’un aperçu rapide des forces du bug bounty. Pour aller plus sur le sujet, nous vous conseillons de lire l’article suivant :

Qui peut faire du bug bounty ?

Pour faire simple : les organisations et les chercheurs en sécurité peuvent se lancer dans la pratique du bug bounty. Les objectifs poursuivis ne sont évidemment pas les mêmes :

• Les organisations font du bug bounty pour prendre connaissance des vulnérabilités dans leurs systèmes, afin de renforcer leur niveau de cybersécurité.
• Les chercheurs font du bug bounty pour identifier ces vulnérabilités dans les systèmes. Leurs motivations sont nombreuses : l’argent bien sûr, mais aussi l’apprentissage et la montée en compétences, l’envie de rendre le monde plus sûr ou tout simplement le défi et le frisson de la recherche.

Peut-on faire du bug bounty son métier ?

Certains experts ont fait du bug bounty leur travail à temps plein, mais c’est loin d’être la majorité des cas. La plupart des chercheurs sont des professionnels déjà en poste – des pentesters de métier par exemple – ou des autodidactes et des étudiants en sécurité informatique. En règle générale, le bug bounty n’est pas une activité à même de générer des revenus stables et réguliers, ce qui en fait souvent une activité annexe plus qu’une profession à temps plein.

Quel salaire attendre du bug bounty ?

Le bug bounty n’est pas une activité salariée, mais une activité indépendante. A l’inverse du pentest, les spécialistes qui font du bug bounty ne sont pas payés pour leur temps de travail, mais pour le fruit de leurs recherches. Il est donc impossible d’estimer les gains moyens liés à la pratique du bug bounty, tant ils dépendent directement :

• de l’expertise du chercheur et de sa capacité à identifier des vulnérabilités ;
• de la criticité des vulnérabilités identifiées, qui permet de fixer le montant des primes. Les vulnérabilités mineures génèrent rarement plus d’une centaine d’euros, là où les exploitations les plus critiques peuvent être récompensées de plusieurs dizaines de milliers d’euros ;
• de la rapidité des organisations à valider les rapports et payer les chercheurs en temps voulu.

Comment faire du bug bounty ?

Là encore, tout dépend de quel côté de la barrière vous êtes : les chercheurs ou les organisations.

Par où commencer en tant que chercheur ?

Pour les chercheurs, il n’y a pas de secret : il faut s’y connaître en sécurité ! On ne trouve pas de vulnérabilités dans les systèmes sans avoir un minimum de connaissances. Mais puisqu’il faut bien commencer quelque part, on donnera deux conseils aux aspirants hackers :

1. Étudiez ! Apprenez un langage de programmation et les bases des technologies du web – les DNS, les règles des navigateurs, les protocoles… il existe des centaines de ressources sur le web pour bien débuter ! Et si vous préférez les contenus vidéos, on vous recommande de jeter un oeil à Stök, NahamSec, LiveOverflow, IppSec et The XSS Rat. Et dans le Youtube Game français, on ne peut que recommander les excellentes chaînes Noobosaurus R3x et HacktBack en français.

2. Et entraînez-vous ! Il existe plusieurs plateformes de formation pour se frotter au hacking éthique, comme TryHackMe, HackTheBox et la PortSwigger Academy. Les programmes de bug bounty publics sont également de bons terrains d’entraînement pour ceux qui ont déjà acquis de bonnes bases.

Bon courage à ceux qui se lanceront dans l’aventure et, d’ici là, on vous laisse avec cette vidéo inspirante de HacktBack : devenir hacker éthique.

Par où commencer le bug bounty en tant qu’organisation ?

Le bug bounty est une méthode de détection des vulnérabilités redoutablement efficace, mais aussi très exigeante pour les organisations.

Disons les choses grossièrement : avec un pentest, il suffit de payer un prestataire et de le laisser faire. Avec le bug bounty, les entreprises doivent investir du temps et des ressources humaines, techniques et financières. Pour être efficace, le bug bounty appelle une bonne compréhension de l’exercice et une bonne connaissance du niveau de sécurité de ses propres environnements.

Il est essentiel de se demander si c’est bien le test le plus pertinent pour vos environnements. Le bug bounty est une approche qui ne convient pas aux produits qui n’ont pas acquis une maturité suffisante en matière de sécurité numérique. On ne le répétera jamais assez, mais il est impératif de passer les actifs au crible d’autres formes de tests – comme le pentest et les scanners automatiques – avant de les soumettre à un bug bounty.

Lire aussi : Pentest vs Bug Bounty, quelle approche choisir ?

Si vous estimez qu’il est temps de faire passer votre sécurité au niveau supérieur : félicitations ! Mais il reste encore une étape importante, à savoir comment construire et mettre en place un programme de bug bounty efficace. Les sujets à aborder ici sont légion :

• le scope du programme ;
• le triage des rapports de vulnérabilités ;
• la sélection des chercheurs, et la communication avec la communauté ;
• le montant des récompenses ;
• la gestion du programme par vos équipes internes ;
• l’approche des remédiations pour vos équipes de développement.

Ce n’est là qu’un aperçu des questions à se poser avant de foncer tête baissée dans le bug bounty. Et comme vous pouvez le constater, il y a matière à réflexion. Aussi, pour ceux qui voudraient sauter le pas, nous avons rédigé un guide complet du bug bounty pour un programme couronné de succès.

Par ailleurs, il peut être intéressant de lire des témoignages d’entreprises déjà rompues à l’exercice. On vous partage ici les expériences de certains de nos clients, qui font du bug bounty avec succès depuis plusieurs années.