Tous les logiciels ont des bogues ou des défauts qui causent des problèmes. Ils vont de problèmes banals qui n'affectent pas les performances du logiciel de manière majeure à de graves vulnérabilités de sécurité.
Les bogues peuvent être difficiles à repérer, c'est pourquoi de nombreuses entreprises technologiques ont des programmes de primes de bogues. Mais que sont exactement les programmes de primes de bogues? Comment fonctionnent-ils et comment contribuent-ils à améliorer la sécurité d'un produit ?
Comment fonctionnent les programmes Bug Bounty
Les entreprises lancent des programmes de primes de bugs afin d'inciter pirates au chapeau blanc pour rechercher des failles de sécurité et des vulnérabilités similaires dans les logiciels. Il y a généralement un prix monétaire plus que décent pour ceux qui découvrent un bogue, aussi insignifiant qu'il puisse sembler à la personne moyenne.
Et ce ne sont pas seulement les petites entreprises émergentes qui ont des programmes de primes de bogues. En fait, la plupart des géants de la technologie les exploitent, notamment Google, Microsoft, Facebook et Apple. Les détails de ces programmes peuvent généralement être trouvés sur le site Web officiel d'une entreprise. Le plus souvent, il existe plusieurs niveaux ou catégories. Mais en principe, plus un bug est important, plus la récompense est élevée.
Une fois qu'un pirate informatique découvre un bogue, il soumet un rapport de divulgation détaillé expliquant ce qu'il a trouvé. Les ingénieurs de l'entreprise examinent et étudient ensuite la soumission, et si les conclusions du chercheur s'avèrent exactes et utiles, ils en sont informés et reçoivent une récompense monétaire.
Ce système fonctionne aussi bien pour les entreprises que pour les chercheurs indépendants. Du point de vue de n'importe quelle entreprise, il vaut mieux qu'un pirate informatique éthique découvre un bogue qu'un auteur de menaces, qui continuerait très probablement à exploitez-le avant qu'il ne soit rafistolé, causant potentiellement des millions de dommages. Les pirates, d'autre part, font une bonne partie du changement en participant à des programmes de primes de bogues - certains gagnent même des revenus à temps plein en découvrant des vulnérabilités logicielles.
Exemples de programmes Bug Bounty améliorant la sécurité des logiciels
Il est bon de savoir comment fonctionnent les programmes de primes de bogues en théorie, mais jetons un coup d'œil à quelques exemples concrets d'entreprises versant des sommes massives à des pirates informatiques.
En coopération avec la plateforme de bug bounty Immunefi, la plateforme décentralisée de pont blockchain Wormhole lancé en février 2022 un programme de primes offrant 10 millions de dollars à quiconque découvre une sécurité critique bogue. Bientôt, un hacker au chapeau blanc utilisant le pseudonyme satya0x en a découvert un. Comme l'a expliqué Immunefi dans un Moyen post, le bogue aurait pu entraîner le verrouillage des fonds des utilisateurs, donc satya0x a reçu 10 millions de dollars pour l'avoir divulgué.
Toujours en février 2022, l'échange de crypto-monnaie Coinbase a payé une prime de bogue de 250 000 $ à un chercheur indépendant pour avoir découvert une faille majeure dans l'interface de trading de la plateforme.
Laboratoires Aurora, la société à l'origine de la machine virtuelle Aurora Ethereum (ETH), a versé une énorme prime de 6 millions de dollars en avril 2022. L'argent a été attribué à un pirate éthique connu sous le nom de pwning.eth, après avoir découvert une vulnérabilité qui aurait permis aux acteurs de la menace de frapper un approvisionnement infini de la crypto-monnaie Ethereum dans l'Aurora moteur.
Le géant canadien du e-commerce Shopify, quant à lui, a battu son propre record en 2021, lorsque ses primes ont totalisé 1 million de dollars. Cette année-là, la société a reçu un total de 3 000 rapports de bogues de la part de pirates informatiques du monde entier. En réponse, Shopify a augmenté sa récompense de prime maximale à 100 000 $.
Ces chiffres peuvent sembler absurdement élevés, mais ils ne le sont vraiment pas par rapport à la somme d'argent et aux données que les cybercriminels pourraient autrement gagner en découvrant des vulnérabilités. Wormhole n'a fixé qu'une prime de bogue de 10 millions de dollars après avoir perdu 320 millions de dollars en raison d'une brèche. Aurora Labs a récompensé un hacker au chapeau blanc parce que 6 millions de dollars sont dérisoires par rapport à la perte de 240 millions de dollars valeur d'ETH, tandis que Coinbase et Shopify ont probablement économisé des dizaines de millions en rémunérant diligent des chercheurs.
Les 5 meilleurs programmes Bug Bounty bien rémunérés
Parce que les entreprises économisent en fait une tonne d'argent en mettant en place des programmes de primes de bogues gratifiants, les chercheurs peuvent choisir parmi un éventail d'options. Si vous êtes un hacker chapeau blanc ou si vous souhaitez le devenir, voici cinq programmes de primes de bogues très rémunérateurs à considérer.
Apple Security Bounty est l'un des programmes de primes de bogues les plus populaires au monde. Les récompenses vont de 5 000 $ pour la découverte des vulnérabilités de l'écran de verrouillage à 2 millions de dollars pour les failles de sécurité qui permettraient à un acteur malveillant de contourner Protections du mode de verrouillage. Tout ce que vous avez à faire pour soumettre un rapport de bogue (qui doit être complet et détaillé) est de vous connecter avec votre identifiant Apple.
Un autre programme de primes de bogues populaire est géré par Microsoft, qui offre une large gamme de récompenses. Tout comme celui d'Apple, le programme de Microsoft est divisé en dizaines de catégories différentes. Par exemple, si vous découvrez une vulnérabilité dans Microsoft. NET, vous pouvez vous attendre à un paiement pouvant atteindre 15 000 $. Mais si vous en découvrez un dans Microsoft Hyper-V, vous pourriez obtenir une récompense allant jusqu'à 250 000 $.
Le programme Samsung Rewards est centré sur les produits mobiles de l'entreprise. Il a des politiques relativement strictes, alors assurez-vous de les lire attentivement avant de soumettre un bogue. Notez également que seuls les bogues qui impactent la sécurité des appareils Samsung sont pris en considération par les ingénieurs de l'entreprise. Les récompenses varient entre 200 $ et 200 000 $.
Dans le programme de primes Google Bug Hunters, les récompenses peuvent atteindre 30 000 $. Les chasseurs de bogues, comme on les appelle souvent les pirates informatiques, peuvent signaler des bogues dans Gmail, YouTube, BlogSpot et d'autres services Google. Ce programme a une communauté très active et sa propre université en ligne, qui peut être une excellente ressource pour les chercheurs novices.
Le programme de primes de Meta couvre Facebook, Instagram, WhatsApp, Messenger et une multitude d'autres produits. Pour être considéré pour une récompense (le minimum est de 500 $), vous devez trouver des vulnérabilités qui présentent un risque pour la sécurité ou la confidentialité et répondre à des exigences clairement définies. Tous les rapports valides reçoivent une réponse. Si plusieurs chasseurs détectent le même problème, la récompense est donnée à la première personne à soumettre un rapport.
Programmes Bug Bounty: le meilleur de la sécurité collaborative
Les programmes Bug Bounty représentent le meilleur de la sécurité participative. Et ce ne sont pas seulement les entreprises technologiques et les chercheurs en cybersécurité qui en bénéficient - tout le monde en profite, y compris les consommateurs.
Pour certains, la chasse aux insectes est un passe-temps, et pour d'autres une carrière à part entière. Si vous appartenez à cette dernière catégorie, ou si vous y aspirez, il existe de nombreux cours en ligne qui valent la peine d'être consultés.