Prime aux bogues
Une prime aux bogues, aussi appelée chasse aux bogues, (en anglais : bug bounty) est un programme de récompenses proposé par de nombreux sites web et développeurs de logiciel qui offrent des récompenses aux personnes signalant des bogues, surtout ceux associés à des vulnérabilités. Ces programmes permettent aux développeurs de découvrir et de corriger des bogues avant que les pirates informatiques et le grand public en soient informés, évitant ainsi des abus. Des primes aux bogues ont été mises en place par les sites internets Facebook[1], Yahoo![2], Google[3], Reddit[4], et l'entreprise de paiement mobile Block[5].
Histoire
modifierLa prime aux bogues fut inventée par Jarrett Ridlinghafer alors qu'il travaillait au soutien technique de Netscape Communications Corporation en tant qu'ingénieur[6].
En 1995, alors que Netscape encourageait ses employés à dépasser leurs limites et à faire le maximum pour que le travail soit fini, Ridlinghafer a l'idée de la « prime aux bogues ». Alors que les enthousiastes des produits de Netscape - surtout concernant le navigateur Web Mosaic/Netscape/Mozilla - se multiplient, il étudie ce phénomène plus en détail. Il découvre ainsi que ces fan étaient en réalité des ingénieurs logiciels qui s'occupaient de corriger les bogues du navigateur de leur côté et qui publiaient leurs corrections ou leurs solutions de contournement :
- sur les nouveaux forums qui avaient été lancés par le soutien technique de Netscape afin de permettre une aide par la collaboration (une autre idée de Ridlinghafer durant ses quatre années de travail à Netscape) ;
- sur le site non officiel Netscape U-FAQ où tous les bogues connus et les fonctionnalités du navigateur étaient listés, ainsi que des instructions concernant les solutions de contournement et les correctifs.
Ridlinghafer comprend que l'entreprise doit tirer profit de ces ressources, il écrit alors une proposition pour le programme de prime aux bogues qu'il présente à son superviseur. Ce dernier lui suggère de présenter son projet à la prochaine réunion exécutive de l'entreprise.
À la réunion exécutive suivante, à laquelle participaient James Barksdale, Marc Andreessen et les directeurs de chaque département incluant le service d'ingénierie, chaque membre reçoit une copie de la proposition et Ridlinghafer est invité à la présenter à l'équipe exécutive de Netscape. À cette dernière, toutes les personnes présentes sont emballées par l'idée, excepté le directeur de l'ingénierie, qui ne voulait pas en entendre parler, pensant que c'était une perte de temps et de ressources. Néanmoins, le reste de l'équipe exécutive passe outre son avis et donne à Ridlinghafer un budget initial de 50 000 $ afin de mettre en place sa proposition. Le programme est lancé en 1995[7].
Le programme connaît un tel succès qu'il est mentionné dans de nombreux ouvrages traitant des succès de Netscape, et de nombreuses organisations (notamment Google) affichent sur la page de leur programme de prime aux bogues un crédit à mozilla.org.
Programmes notables
modifierFacebook commence[Quand ?] à payer des chercheurs trouvant et rapportant des bogues de sécurité en leur délivrant une carte de crédit customisée White Hat pouvant être rechargée à chaque fois que les chercheurs découvrent de nouveaux défauts. « Les chercheurs trouvant des bogues et des améliorations de sécurité sont rares, nous reconnaissons leur travail et nous devons trouver une solution pour les récompenser », dit Ryan McGeehan, manager de l'équipe sécurité à Facebook, dans une interview à CNET. « Avoir cette carte noire exclusive est une autre façon de les reconnaître. Ils peuvent aller dans une conférence, montrer cette carte et dire J'ai fait un travail spécial pour Facebook. »[8]. En 2014, Facebook arrête de distribuer ces cartes à ses chercheurs.
En , Google annonce un changement majeur à son programme de prime aux bogues qui couvrait déjà de nombreux produits Google. Le changement étend le programme à une sélection de logiciels libres considérés à haut risque et de bibliothèques logicielles, en priorité celles conçues pour les réseaux informatiques ou pour les fonctionnalités précises des systèmes d'exploitation. Les soumissions qui respectaient les critères de Google étaient éligibles à des récompenses variant de 500 $ à 3 133,7 $[9],[10].
Dans le même ordre d'idées, Microsoft et Facebook se sont associés en pour commanditer The Internet Bug Bounty, un programme offrant des récompenses pour des rapports sur des exploits et des bogues concernant une large gamme de logiciels liés à Internet[11]. Dans les logiciels couverts par ce programme, on trouve Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, Nginx, Apache HTTP Server, et Phabricator. De plus, le programme offre des récompenses pour les exploits concernant les systèmes d'exploitation et les navigateurs fréquemment utilisés[12].
En Europe, les principaux acteurs sont les français YesWeHack et Yogosha, le belge Intigriti[13], le néerlandais Zerocopter, tandis qu'au niveau mondial HackerOne (en) est leader[14]. Les initiatives de bug bounty se multiplient, tant en termes d’ampleur que de prévalence. À titre d'illustration, HackerOne a enregistré l'identification et la résolution de plus de 20,000 failles de sécurité dans une multitude d'organisations en mai 2016. L'entreprise offre des récompenses monétaires aux pirates informatiques éthiques. Cependant, en raison de leur nature participative, ils peuvent poser problème en raison d'un nombre élevé de rapports de mauvaise qualité[15].
Pays d'origine des chasseurs de bogues
modifierL'Inde, qui est le second pays au monde avec le plus de chasseurs de bogues[16], trône au sommet du Programme de prime aux bogues de Facebook avec le plus grand nombre de bogues valides. « Les chercheurs en Russie gagnent le plus en 2013 avec leurs rapports de bogues, recevant une moyenne de 3 961 $ pour 38 bogues. L'Inde a le plus de bogues valides, 136 au total, avec une récompense de 1 353 $. Les États-Unis ont rapporté 92 problèmes et ont une récompense moyenne de 2 272 $. Le Brésil et le Royaume-Uni étaient les troisième et quatrième du classement concernant le volume rapporté, avec respectivement 53 bogues et 40 bogues, et une récompense moyenne de 3 792 $ et 2 950 $ », rapporte Facebook dans un article[17].
Incidents
modifierYahoo! est sévèrement critiquée pour avoir envoyé des T-shirts Yahoo! comme récompense aux chercheurs en sécurité ayant trouvé et rapporté des vulnérabilités de Yahoo!, provoquant ce qui a été appelé le T-shirt-gate[18] : High-Tech Bridge (en), une société testant la sécurité des applications et basée en Suisse, a publié un communiqué disant que Yahoo! offrait 12,5 $ par vulnérabilité (soit le prix d'un t-shirt) en bons d'achat pouvant être utilisés uniquement pour des produits de la marque Yahoo! comme des t-shirts, des tasses et des stylos. Ramses Martinez, directeur de l'équipe de sécurité de Yahoo a déclaré plus tard dans une publication de blogue[19] qu'il était derrière le programme de récompense en bons d'achat et qu'il a dû payer lui-même ces bons. On comprend dans l'interview qu'il n'y avait pas d'arrière pensée, et qu'il souhaitait juste remercier le chasseur de bogues avec plus qu'un simple email[18]. Par réaction, Yahoo! a lancé son nouveau programme de prime aux bogues le de la même année, permettant aux chercheurs de soumettre les bogues qu'ils ont trouvés et de toucher une récompense entre 250 $ et 15 000 $, dépendant de la sévérité des bogues découverts[20].
Références
modifier- (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Bug bounty program » (voir la liste des auteurs).
- (en) Facebook Security, « Facebook WhiteHat », Facebook, (consulté le )
- (en) « Yahoo! Bug Bounty Program », HackerOne (en) (consulté le ).
- (en) « Vulnerability Assessment Reward Program », Google (consulté le )
- (en) « Reddit - whitehat », Reddit (consulté le ).
- (en) « Square bug bounty program », Hackrone (consulté le ).
- (en) « Jarrett Neil Ridlinghafer - Linkedin » (consulté le ).
- (en) « Netscape announces Netscape Bugs Bounty with relaase of nestscape navigator 2.0 », Internet Archive (consulté le ).
- (en) Facebook Whitehat, « Facebook whitehat Debit card », CNET.
- (en) Dan Goodin, « Google offers "leet" cash prizes for updates to Linux and other OS software », Ars Technica, (consulté le ).
- (en) Michal Zalewski, « Going beyond vulnerability rewards », Google Online Security Blog, (consulté le ).
- (en) Dan Goodin, « Now there’s a bug bounty program for the whole Internet », Ars Technica, (consulté le ).
- (en) « The Internet Bug Bounty », HackerOne (consulté le ).
- « La Commission européenne lance un nouveau programme de chasse aux bugs dans cinq logiciels libres », ZDNet (consulté le ).
- « YesWeHack et son hacking éthique lève 4 millions d’euros », sur start.lesechos.fr (consulté le ).
- (en) Aron Laszka, Mingyi Zhao et Jens Grossklags, « Banishing Misaligned Incentives for Validating Reports in Bug-Bounty Platforms », dans Computer Security – ESORICS 2016, vol. 9879, Springer International Publishing, (ISBN 978-3-319-45740-6, DOI 10.1007/978-3-319-45741-3_9, lire en ligne), p. 161–178
- (en) Indian Researchers, « Indian Bug Hunters tops the world », DNA Newspaper, DNA News.
- (en) Facebook BugBounty Update, « Facebook's Update on Bug Bounty Program », Facebook Security.
- (en) Yahoo! T-shirt Gate, « Yahoo! T-shirt gate », ZDNet.
- (en) Yahoo! Bug Bounty, « So I’m the guy who sent the t-shirt out as a thank you. », Ramses Martinez (consulté le ).
- (en) Yahoo! BugBounty Program, « Yahoo! launched its Bug Bounty Program », Ramses Martinez (consulté le ).