Bug Bounty : un moyen de démocratiser la recherche de vulnérabilités

De plus en plus d’entreprises exposant des services sur Internet sont confrontées à des internautes plus ou moins bienveillants qui relèvent des vulnérabilités dans leurs services et les en informent. Souvent en demandant au passage une rétribution « quand ce n’est plus radical. Parfois, on n’est pas loin du racket », explique Yann Filliat, manager au sein de la practice cybersécurité et confiance numérique Wavestone, en s’appuyant sur l’expérience de ses clients.

De l’autre côté, certains grands acteurs des technologies de l’information, comme Facebook ou Google, ont également ouvert leurs propres programmes de chasse aux bugs, dits Bug bounty. Apple les a d’ailleurs récemment rejoints. Entre les deux, des plateformes ont émergé, comme Yogosha en France – qui vient de remporter le Grand Prix de l’Innovation de la Ville de Paris –, pour amener les entreprises à cette pratique de recherche de vulnérabilités où seules celles qui sont effectivement découvertes ouvrent droit à rémunération. Le tout en profitant d’un panel de chercheurs potentiellement très large.

Mais voilà, cela ne va pas sans interrogations. Et Yann Filliat de relever notamment des inquiétudes sur la probité des chercheurs impliqués : « le découvreur d’une vulnérabilité ne sera-t-il pas tenté d’aller la vendre sur le Dark Web pour en retirer plus ? » voire, « travaille-t-il depuis un poste suffisamment sûr pour que le fruit de ses recherches ne soit pas détourné ? » Mais aussi : « je vais proposer une récompense, mais sera-t-elle suffisamment élevée pour effectivement attirer les chercheurs ? »

Pour répondre à cela, Wavestone a donc lancé une nouvelle offre. Si elle est dite de Bug Bounty, elle rappelle pour beaucoup les services classiques de recherche de vulnérabilités : seuls les experts du cabinet de conseil interviennent – 40 auditeurs et spécialistes du test d’intrusion, des collaborateurs de Wavestone –, le tout dans le cadre d’une relation étroite entre le client et son fournisseur, en profitant d’une prestation réalisée dans le cadre d’un environnement certifié ISO 27001.

Alors quelle différence par rapport à une prestation de test d’intrusion classique, facturée au forfait sur la base d’un nombre de jours ? Le paiement à la faille, d’une part, mais également une prestation ouverte sur une période déterminée par le client et pouvant s’étendre sur plusieurs mois. De quoi également s’adapter à l’adoption croissante des méthodes agiles, où réaliser des tests de manière ponctuelle s’avère incohérent avec la logique de développement en continu. « Ce qui change aussi pas mal de choses chez nous », précise Gérôme Billois, directeur de la practice cybersécurité et confiance numérique de Wavestone.

En fait, avec cette nouvelle offre, Wavestone s’adresse à une nouvelle population d’entreprises : « le Bug Bounty fonctionne bien avec les entreprises déjà très matures. Car si l’on y soumet une application ou un service qui n’a pas déjà été audité et développé en intégrant la dimension sécurité, le nombre de vulnérabilités remontée peut être considérable », explique Gérôme Billois. Et le coût aussi, par rapport à une prestation de test d’intrusion facturée au forfait. Dès lors, le Bug Bounty privé proposé ici semble surtout s’adresser aux grands comptes les plus matures, mais également soucieux d’une certaine discrétion.

Un ticket d’entrée, de l’ordre d’un millier d’euros, sera facturé aux clients de l’offre, ne serait-ce, explique Yann Filliat, que pour « pouvoir déclencher les assurances » liées au contrat de prestation, et passer le cap des services achats. Mais une seconde formule sera proposée, avec un prix de base plus élevé – quelques milliers d’euros – en contrepartie d’un prix à la faille découverte plus faible. Selon le niveau de criticité, le tarif peut alors évoluer de quelques centaines d’euros à plusieurs milliers d’euros pour les vulnérabilités les plus sérieuses.