14 septembre 2017

Le bug Bounty, ses avantages, ses inconvénients !

bounty

Je sens que les papilles commencent déjà à saliver. Vous vous imaginez cette célèbre barre chocolatée fourrée à la noix de coco. Malheureusement, cet article ne parle pas de sucreries ! Nous traiterons d’un concept très répandu outre-Atlantique, permettant de tester la sécurité de votre système d’information : le Bug Bounty.

bounty

Le principe est simple ! Une récompense est offerte pour tout individu découvrant un bug ou une faille de sécurité sur un produit donné. Pour se faire, les Bugs Bounties suivent un certain nombre de règles détaillées dans la suite de cet article.

Ce concept est venu au monde en 1995 au sein de l’entreprise Netscape. En voyant qu’une communauté publique corrigeait elle-même les bugs et publiait des correctifs, Netscape a décidé d’en tirer profit. Le premier Bug Bounty vit ainsi le jour en octobre 1995 et récompensait les personnes qui remontaient des bugs ou des failles de sécurité sur le Netscape Navigator 2.0.

Depuis, de nombreuses entreprises utilisent ce moyen pour maintenir la sécurité de leurs produits. Des plateformes spécifiques permettent de mettre en relation clients et « hunters ».

Certains groupes ont préféré mettre en place leur propre Bug Bounty. En effet, Google en 2010 ou encore Microsoft et Facebook en 2013 avec The Internet Bug Bounty. (testant les principaux outils du Web : Apache, nginx, python, PHP, etc.).

Timeline du bug bounty

L’avènement du Bug Bounty

Pourquoi ce concept trouve-t-il de plus en plus d’adeptes au sein des entreprises ? Avant cela, il faut comprendre comment il est possible de nos jours de tester la sécurité de son système d’information.

Dans la majorité des cas, une entreprise fait appel à une société proposant des audits de sécurité. Une prestation est convenue en fonction des besoins (tests d’intrusion, audits de code, etc.). Les modalités (durée de la mission, nombre d’auditeurs, périmètres ainsi que les points d’attention à prioriser afin d’évaluer au mieux le niveau de sécurité et le niveau d’exposition de l’application) sont ensuite spécifiées.

Dans le fond, le Bug Bounty répond aux mêmes principes, mais diffère sur la forme. Une société souhaitant évaluer la sécurité de son application Web va alors définir un périmètre, les attaques qu’il est possible de réaliser (certaines attaques peuvent être proscrites), le montant des primes pour chaque faille remontée et met en ligne l’ensemble de ces informations sur un site spécialisé.

Suite à la parution de ce nouveau Bug Bounty, des centaines de personnes vont alors tenter de remonter des bugs ou des failles de sécurité sans contrainte d’horaire et seront seulement payées sur résultat (un bug = une prime).

Le principale avantage mis en avant sur les plateformes de Bug Bounty est le rapport prix/intervenant. De plus, le Bug Bounty peut permettre de dissuader certains hackers de nuire à votre application. En effet, pourquoi exploiter une faille, investir du temps, risquer la prison alors qu’en prévenant le propriétaire, il est possible d’être rémunéré de manière légale ?

Par ce biais, la sécurisation de votre système devient un travail quotidien et permet de réagir rapidement dans le cas de la découverte d’une faille, contrairement aux audits de sécurité évaluant le risque d’exposition à un instant T et demandant donc de réaliser ces tests régulièrement.

Bug Bounty vs Tests d’intrusion

Il semble donc que le Bug Bounty soit la solution de demain pour tester la sécurité des applications. On peut ainsi légitimement se poser des questions quant à l’avenir des tests d’intrusion.

Contrairement à ce qu’on pourrait penser, ces deux méthodes de test ne sont pas faites pour s’opposer, mais pour cohabiter. Elles sont complémentaires et ne répondent pas aux mêmes besoins. L’audit de sécurité est un service proposé au client qui demande de comprendre ses besoins et de conseiller à celui-ci une prestation correspondant au mieux à ses exigences. En effet, une entreprise encore novice dans la sécurité de l’information ne peut exposer son application à des dizaines de hackers aguerris sans risquer de compromettre ses activités.

Les tests d’intrusion facilitent le suivi de la part du client qui peut valider un par un les tests et les exploitations proposées. Il est également possible d’avoir une approche par les risques lors de l’exploitation de vulnérabilités complexes. Ce faisant, il est possible de contrôler au mieux les impacts sur la stabilité de l’application. Ce type de service livre également un rapport complet s’adressant aussi bien aux experts sécurité (RSSI) qu’aux personnes moins techniques. Une .restitution orale offrant la possibilité d’approfondir chaque point de l’audit peut également être effectuée

Il faut aussi voir que le périmètre des tests est restreint pour les Bugs Bounties. En effet, dans la majorité des cas, les Bug Bounties proposent uniquement des tests en boîte noire. Un audit de sécurité, quant à lui propose des tests authentifiés (en boîte grise). De plus, l’ensemble des audits demandant un accès interne à l’entreprise (réseau interne, Wifi, poste de travail, etc.) reste inaccessible via cette méthode de tests.

Enfin, certains clients ont besoin d’un accompagnement dans le cadre de la réalisation d’une certification (ISO 27001, PCI-DSS). En effet, ces tests doivent être réalisé par une entreprise certifiée.

Les limites du Bug Bounty

Le Bug Bounty possède peut-être un défaut, qui est l’éthique des « hunters » testant vos applications. Ces personnes sont pour la plupart des inconnus qui en découvrant une faille sur votre application. Si l’appât du gain est plus important ou si le chercheur souhaite nuire à l’image de l’entreprise, fournira t’il sa découverte ?

Dans ce cas, le meilleur compromis vient peut-être de sociétés proposant des Bugs Bounties privés n’autorisant l’accès aux tests qu’aux meilleurs « chercheurs de bugs » dont la réputation n’est plus à faire. Pour limiter davantage les risques, des plateformes telles que Bounty Factory ou encore Yogosha, acceptent uniquement des « hunters » sur parrainage, permettant ainsi de créer une chaîne de confiance et d’assurer au client que toutes les personnes testant leur application sont identifiées, connues et qualifiées.

En définitive, tout le monde peut trouver son bonheur avec les Bugs Bounties. Ils offrent aux entreprises une nouvelle alternative pour tester leur système d’information. Les hackers disposent d’un moyen légal de mettre leurs compétences à profit. Les consultant en sécurité y trouvent une technique pour s’évaluer et progresser en condition réelle de test (serveur en production).

 

Maël Missillier : Consultant BSSI

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *