Les programmes de bug bounty commencent à émerger en Europe. Objectif : sécuriser les sites internet des entreprises et fédérer une communauté de hackers indépendants.

Keep calm and fix bugs
Keep calm and fix bugs

La semaine dernière, à Lille, au Forum International de la Cybersécurité, le bug bounty a été le sujet de plusieurs conférences. De quoi s’agit-il ? De plateformes faisant le pont entre des entreprises, désireuses de renforcer la sécurité de leurs sites internet, et des hackers (qu’on appelle aussi « chercheurs » ou même ici « chasseurs »), dont l’objectif est de détecter des bugs. Chaque bug est rémunéré une seule fois, au premier qui le trouve, et d'un montant à hauteur de son niveau de criticité. « Bounty », signifiant « prime », le bug bounty est littéralement « la prime au bug ». Des primes allant de 50 euros à 15 000 euros pour les vulnérabilités les plus sensibles.

►►► A la rencontre des acteurs du bug bounty, dans la Face B de l’actualité internationale, de Mickaël Thébault

Aux Etats-Unis, l’expression « bug bounty » a été créée par l’entreprise Nestcape, qui utilise ces programmes depuis 1995. Depuis, les géants comme Facebook, Google ou Microsoft l’utilisent régulièrement, comprenant que cette communauté de hackers est une mine d’or, qu’il faut récompenser comme il se doit. Pour Yassir Kazar, co-fondateur de Yogosha, une jeune plateforme française de bug bounty créée il y a un an, l’image des hackers est en pleine évolution :

On confond souvent hackers et cybercriminels, mais le hacker, fondamentalement, c’est une personne qui est là pour aider. Quand vous avez un disque dur qui crache et que vous êtes à 4h du matin en train de poser des questions sur un forum, ceux qui vous répondent, ce sont des hackers !

« Hack The Pentagon »

En mars 2016, le Pentagone lance son propre programme de bug bounty qu’il baptise : « Hack The Pentagon ». Les 1400 hackers « blancs » participants sont triés sur le volet (profil vérifié, de nationalité américaine) et le périmètre de recherche est prédéfini à l’avance. En tout, une centaine de bugs sont détectés, récompensés de prime à hauteur de 15 000 dollars.

Devant ce succès, l’US Army a suivi : la Défense américaine lance elle-aussi son programme de bug bounty intitulée « Hack The Army ». 371 « chasseurs de bugs » ont détecté, là encore, une centaine de bugs. Deux vulnérabilités, auraient permis, combinées, d’accéder à un site interne du ministère de la Défense... Au total, l’US Army a dépensé près de 100 000 dollars pour récompenser les hackers.

Une question de souveraineté

En Europe, la dynamique du bug bounty se met enfin en marche, puisque l’Union européenne a voté fin 2016 un budget de 3 millions d’euros pour le « bug bounty européen ». Une annonce qui n'a pas été sans déplaire à Guillaume Vassault-Houlière responsable de la Nuit du Hack depuis 15 ans et responsable de la sécurité des systèmes d’information (RSSI) de Qwant, le moteur de recherche français. En 2015, il a cofondé la première plateforme européenne de bug bounty : la Bounty Factory. Il souligne les problématiques de cybersécurité générées par le bug bounty :

Ce sont nos défenses, nos sociétés… Où stocker ces données liées aux vulnérabilités ? Quel système de paiement utiliser ? Qu’est-ce qui nous garantit qu’on ne rémunère pas quelqu’un qui ne travaille pas pour notre intérêt ?

La bataille pour le bug bounty sera aussi sur le terrain juridique. Les plateformes et les sociétés qui les utilisent, souhaitent conserver leur souveraineté. Et surtout ne pas dépendre des lois d’un pays comme les Etats-Unis, soumis au Patriot Act.

►►► De l’argent public pour Qwant, le concurrent européen de Google

Ce contenu n'est pas ouvert aux commentaires.