De plus en plus d’entreprises se lancent aujourd’hui dans la recherche de « hackers » capables de déceler les failles. Les Américains proposent des récompenses pour ces internautes qui arrivent à détecter les vulnérabilités. C’est le cas de la société Yes We Hack qui vient de présenter Bounty Factory, l’équivalent européen du HackerOne.
L’adoption du Bounty Factory reste fictive
En quelques mots, un bug bounty est le moyen que certaines sociétés ont mis en place pour récompenser les internautes qui arrivent à repérer des failles. L’idée initiale remonte à 1995, sous l’impulsion de Netscape afin de renforcer les défenses de son navigateur. La sécurité informatique est un domaine stratégique pour toutes les organisations. Les Bugs Bounties permettent aux sociétés d’externaliser la recherche de vulnérabilités en un nombre important de failles. Celles-ci seront reproduites puis analysées. La solution a émergé aux États-Unis à travers HackerOne. Cette initiative vise à centraliser les failles découvertes par ces chercheurs au profit des entreprises. Depuis sa présence aux États-Unis en 2014, la société HackerOne a déjà rassemblé plus de 250 entreprises intéressées par ses programmes de Bug Bounty externalisés. La société américaine affirmait avoir versé en 2015 plus de 3 millions de dollars de récompenses aux participants. Vulgariser des bug bounties reste un grand défi à relever. Sur le papier, tout le monde reconnait les avantages qu’un tel système peut apporter. Cela même si l’adoption reste encore mitigée. Et c’est plus ou moins ce principe que le programme Bounty Factory veut introduire en Europe. Une plateforme similaire est donc proposée au profit des entreprises européennes. Comparée au système HackerOne, la dynamique de celui des Européens n’est encore qu’à ses débuts.
Comment cela fonctionne ?
De conception française, Bounty Factory est apparue à l’initiative de la société Yes We Hack et du blogueur Korben. L’idée est de proposer une plateforme centralisée européenne vers laquelle les chercheurs ayant décelé des failles peuvent se tourner. La méthode présente plusieurs avantages. D’une part, elle permet d’externaliser la mise en place de ce type de process pour les sociétés qui ne disposent pas de moyens pour proposer un bug bounty. D’autre part, elle donne la possibilité d’attirer l’attention de nombreux chercheurs compétents et importants. Pour le moment, Bounty Factory se lance timidement. Néanmoins, le système permet déjà aux intéressés de configurer un périmètre d’application où les chercheurs pourront rapporter des vulnérabilités.
Ainsi, ils auront une récompense, tout comme la possibilité de passer leur programme de bug bounty en privé ou en public. La reconnaissance offerte par les entreprises peut se présenter sous forme de contributions financières, ou également de produits ou de services. Bounty Factory se rémunère en bénéficiant d’une commission sur les primes versées. Le système joue donc le rôle d’intermédiaire entre l’entreprise et le chercheur. Jusqu’ici Bounty Factory explique que cinq entreprises ont déjà fait appel à ses services, dont Qwant, le moteur de recherche français. Cela paraît logique, car le fondateur de Yes We Hack, Guillaume Vassault-Houlière, était déjà en charge de la sécurité du moteur de recherche national.