Jarrett Ridlinghafer a mis en place le premier programme bug bounty en 1995 alors qu’il travaillait chez Netscape Communications Corporation. Le bug bounty est un programme proposé par de nombreux sites web et développeurs de logiciels consistant à récompenser les personnes qui rapportent des bogues (défauts de conception ou de réalisation d’un programme informatique). Cette pratique permet ainsi de détecter et de corriger des failles de sécurité en toute légalité avant que des personnes potentiellement mal intentionnées ne les trouvent. À son apparition, certaines instances la percevaient comme un début de procédure d’extorsion. Aujourd’hui, le bug bounty est vu comme une véritable main tendue.
Un nouveau marché en pleine expansion : break the code, not rules
Il existe désormais des compagnies spécialisées en bug bounty. Yeswehack est le leader européen en la matière. Sa mission est de mettre en relation son énorme réseau d’experts avec une clientèle de tout type. Ces experts aident les demandeurs à se protéger des cyberattaques et garantissent la sécurité de leurs utilisateurs. La société co-organisera prochainement la 4ème édition du bug bounty au sein du ministère des Armées.
Fonctionnement des programmes de bug bounty
Le demandeur (entreprise, association, gouvernement etc…) souhaite estimer la sécurité de son projet. A cette fin, il sollicite des experts en mettant à disposition son site web, son application, ses objets connectés. Les bug bounty hunter vont alors tenter d’y trouver des vulnérabilités. Si des failles sont effectivement repérées, cela donnera suite à un rapport de vulnérabilité détaillé transmis au demandeur. Les bug bounty hunter seront payés en fonction de la criticité de la faille. Plus la faille sera importante et le rapport de vulnérabilité de qualité, plus ils seront récompensés. La prime peut aller de quelques dizaines d’euros à plus de 50 000 euros dans certains pays mais elle peut aussi prendre la forme de cadeaux.
Objectifs des programmes de bug bounty
L’objectif des programmes de bug bounty se résume donc pour les clients à payer une récompense plutôt qu’une rançon. Les bug bounty hunter œuvrent pour la bonne cause. En effet, le site est beaucoup plus sécurisé qu’il ne l’était pour le demandeur et les utilisateurs après leur passage. Ces programmes offrent ainsi des services de sécurité efficaces permettant de compléter les mesures de sécurisation déjà mises en place au sein de la structure. Est finalement établi un système de gagnant-gagnant : les bug bounty hunter gagnent de l’argent ou des cadeaux tandis que le demandeur gagne en fiabilité.
STERNITZKY Théa
M2 Cyberjustice – Promotion 2021/2022
Sources :
https://www.yeswehack.com/fr/entreprises/pourquoi-le-bug-bounty/
https://yogosha.com/fr/a-propos/
https://www.ssi.gouv.fr/uploads/2021/06/anssi-france_relance-bug_bounty.pdf
France Culture, Qui a peur du grand méchant hack, 7 décembre 2021, Tiphaine de Rocquigny, Florent Kirchner, Nicolas Arpagian