Prime aux bogues

Une prime aux bogues, aussi appelée chasse aux bogues, (en anglais : bug bounty) est un programme de récompenses proposé par de nombreux sites web et développeurs de logiciel qui offrent des récompenses aux personnes signalant des bogues, surtout ceux associés à des vulnérabilités. Ces programmes permettent aux développeurs de découvrir et de corriger des bogues avant que les pirates informatiques et le grand public en soient informés, évitant ainsi des abus. Des primes aux bogues ont été mises en place par les sites internets Facebook^[1], Yahoo!^[2], Google^[3], Reddit^[4], et l'entreprise de paiement mobile Block^[5].

Histoire

La prime aux bogues fut inventée par Jarrett Ridlinghafer alors qu'il travaillait au soutien technique de Netscape Communications Corporation en tant qu'ingénieur^[6].

En 1995, alors que Netscape encourageait ses employés à dépasser leurs limites et à faire le maximum pour que le travail soit fini, Ridlinghafer a l'idée de la « prime aux bogues ». Alors que les enthousiastes des produits de Netscape - surtout concernant le navigateur Web Mosaic/Netscape/Mozilla - se multiplient, il étudie ce phénomène plus en détail. Il découvre ainsi que ces fan étaient en réalité des ingénieurs logiciels qui s'occupaient de corriger les bogues du navigateur de leur côté et qui publiaient leurs corrections ou leurs solutions de contournement :

• sur les nouveaux forums qui avaient été lancés par le soutien technique de Netscape afin de permettre une aide par la collaboration (une autre idée de Ridlinghafer durant ses quatre années de travail à Netscape) ;
• sur le site non officiel Netscape U-FAQ où tous les bogues connus et les fonctionnalités du navigateur étaient listés, ainsi que des instructions concernant les solutions de contournement et les correctifs.

Ridlinghafer comprend que l'entreprise doit tirer profit de ces ressources, il écrit alors une proposition pour le programme de prime aux bogues qu'il présente à son superviseur. Ce dernier lui suggère de présenter son projet à la prochaine réunion exécutive de l'entreprise.

À la réunion exécutive suivante, à laquelle participaient James Barksdale, Marc Andreessen et les directeurs de chaque département incluant le service d'ingénierie, chaque membre reçoit une copie de la proposition et Ridlinghafer est invité à la présenter à l'équipe exécutive de Netscape. À cette dernière, toutes les personnes présentes sont emballées par l'idée, excepté le directeur de l'ingénierie, qui ne voulait pas en entendre parler, pensant que c'était une perte de temps et de ressources. Néanmoins, le reste de l'équipe exécutive passe outre son avis et donne à Ridlinghafer un budget initial de 50 000 $ afin de mettre en place sa proposition. Le programme est lancé en 1995^[7].

Le programme connaît un tel succès qu'il est mentionné dans de nombreux ouvrages traitant des succès de Netscape, et de nombreuses organisations (notamment Google) affichent sur la page de leur programme de prime aux bogues un crédit à mozilla.org.

Programmes notables

 

Une carte de crédit "White Hat", donnée par Facebook aux chercheurs rapportant des bogues.

Facebook commence^[Quand ?] à payer des chercheurs trouvant et rapportant des bogues de sécurité en leur délivrant une carte de crédit customisée White Hat pouvant être rechargée à chaque fois que les chercheurs découvrent de nouveaux défauts. « Les chercheurs trouvant des bogues et des améliorations de sécurité sont rares, nous reconnaissons leur travail et nous devons trouver une solution pour les récompenser », dit Ryan McGeehan, manager de l'équipe sécurité à Facebook, dans une interview à CNET. « Avoir cette carte noire exclusive est une autre façon de les reconnaître. Ils peuvent aller dans une conférence, montrer cette carte et dire J'ai fait un travail spécial pour Facebook. »^[8]. En 2014, Facebook arrête de distribuer ces cartes à ses chercheurs.

En octobre 2013, Google annonce un changement majeur à son programme de prime aux bogues qui couvrait déjà de nombreux produits Google. Le changement étend le programme à une sélection de logiciels libres considérés à haut risque et de bibliothèques logicielles, en priorité celles conçues pour les réseaux informatiques ou pour les fonctionnalités précises des systèmes d'exploitation. Les soumissions qui respectaient les critères de Google étaient éligibles à des récompenses variant de 500 $ à 3 133,7 $^[9],[10].

Dans le même ordre d'idées, Microsoft et Facebook se sont associés en novembre 2013 pour commanditer The Internet Bug Bounty, un programme offrant des récompenses pour des rapports sur des exploits et des bogues concernant une large gamme de logiciels liés à Internet^[11]. Dans les logiciels couverts par ce programme, on trouve Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, Nginx, Apache HTTP Server, et Phabricator. De plus, le programme offre des récompenses pour les exploits concernant les systèmes d'exploitation et les navigateurs fréquemment utilisés^[12].

En Europe, les principaux acteurs sont les français YesWeHack et Yogosha, le belge Intigriti^[13], le néerlandais Zerocopter, tandis qu'au niveau mondial HackerOne (en) est leader^[14]. Les initiatives de bug bounty se multiplient, tant en termes d’ampleur que de prévalence. À titre d'illustration, HackerOne a enregistré l'identification et la résolution de plus de 20,000 failles de sécurité dans une multitude d'organisations en mai 2016. L'entreprise offre des récompenses monétaires aux pirates informatiques éthiques. Cependant, en raison de leur nature participative, ils peuvent poser problème en raison d'un nombre élevé de rapports de mauvaise qualité^[15].

Pays d'origine des chasseurs de bogues

L'Inde, qui est le second pays au monde avec le plus de chasseurs de bogues^[16], trône au sommet du Programme de prime aux bogues de Facebook avec le plus grand nombre de bogues valides. « Les chercheurs en Russie gagnent le plus en 2013 avec leurs rapports de bogues, recevant une moyenne de 3 961 $ pour 38 bogues. L'Inde a le plus de bogues valides, 136 au total, avec une récompense de 1 353 $. Les États-Unis ont rapporté 92 problèmes et ont une récompense moyenne de 2 272 $. Le Brésil et le Royaume-Uni étaient les troisième et quatrième du classement concernant le volume rapporté, avec respectivement 53 bogues et 40 bogues, et une récompense moyenne de 3 792 $ et 2 950 $ », rapporte Facebook dans un article^[17].

Incidents

Yahoo! est sévèrement critiquée pour avoir envoyé des T-shirts Yahoo! comme récompense aux chercheurs en sécurité ayant trouvé et rapporté des vulnérabilités de Yahoo!, provoquant ce qui a été appelé le T-shirt-gate^[18] : High-Tech Bridge (en), une société testant la sécurité des applications et basée en Suisse, a publié un communiqué disant que Yahoo! offrait 12,5 $ par vulnérabilité (soit le prix d'un t-shirt) en bons d'achat pouvant être utilisés uniquement pour des produits de la marque Yahoo! comme des t-shirts, des tasses et des stylos. Ramses Martinez, directeur de l'équipe de sécurité de Yahoo a déclaré plus tard dans une publication de blogue^[19] qu'il était derrière le programme de récompense en bons d'achat et qu'il a dû payer lui-même ces bons. On comprend dans l'interview qu'il n'y avait pas d'arrière pensée, et qu'il souhaitait juste remercier le chasseur de bogues avec plus qu'un simple email^[18]. Par réaction, Yahoo! a lancé son nouveau programme de prime aux bogues le 31 octobre de la même année, permettant aux chercheurs de soumettre les bogues qu'ils ont trouvés et de toucher une récompense entre 250 $ et 15 000 $, dépendant de la sévérité des bogues découverts^[20].

Références

• (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Bug bounty program » (voir la liste des auteurs).

1. (en) Facebook Security, « Facebook WhiteHat », Facebook, 26 avril 2014 (consulté le 11 mars 2014)
2. (en) « Yahoo! Bug Bounty Program », HackerOne (en) (consulté le 11 mars 2014).
3. (en) « Vulnerability Assessment Reward Program », Google (consulté le 11 mars 2014)
4. (en) « Reddit - whitehat », Reddit (consulté le 30 mai 2015).
5. (en) « Square bug bounty program », Hackrone (consulté le 6 août 2014).
6. (en) « Jarrett Neil Ridlinghafer - Linkedin » (consulté le 22 janvier 2016).
7. (en) « Netscape announces Netscape Bugs Bounty with relaase of nestscape navigator 2.0 », Internet Archive (consulté le 21 janvier 2015).
8. (en) Facebook Whitehat, « Facebook whitehat Debit card », CNET.
9. (en) Dan Goodin, « Google offers "leet" cash prizes for updates to Linux and other OS software », Ars Technica, 9 octobre 2013 (consulté le 11 mars 2014).
10. (en) Michal Zalewski, « Going beyond vulnerability rewards », Google Online Security Blog, 9 octobre 2013 (consulté le 11 mars 2014).
11. (en) Dan Goodin, « Now there’s a bug bounty program for the whole Internet », Ars Technica, 6 novembre 2013 (consulté le 11 mars 2014).
12. (en) « The Internet Bug Bounty », HackerOne (consulté le 11 mars 2014).
13. « La Commission européenne lance un nouveau programme de chasse aux bugs dans cinq logiciels libres », ZDNet (consulté le 23 janvier 2022).
14. « YesWeHack et son hacking éthique lève 4 millions d’euros », sur start.lesechos.fr (consulté le 27 février 2020).
15. (en) Aron Laszka, Mingyi Zhao et Jens Grossklags, « Banishing Misaligned Incentives for Validating Reports in Bug-Bounty Platforms », dans Computer Security – ESORICS 2016, vol. 9879, Springer International Publishing, 2016 (ISBN 978-3-319-45740-6, DOI 10.1007/978-3-319-45741-3_9, lire en ligne), p. 161–178
16. (en) Indian Researchers, « Indian Bug Hunters tops the world », DNA Newspaper, DNA News.
17. (en) Facebook BugBounty Update, « Facebook's Update on Bug Bounty Program », Facebook Security.
18. (en) Yahoo! T-shirt Gate, « Yahoo! T-shirt gate », ZDNet.
19. (en) Yahoo! Bug Bounty, « So I’m the guy who sent the t-shirt out as a thank you. », Ramses Martinez (consulté le 2 octobre 2013).
20. (en) Yahoo! BugBounty Program, « Yahoo! launched its Bug Bounty Program », Ramses Martinez (consulté le 31 octobre 2013).

Voir aussi

Liens externes

• List of All Bug Bounties & Disclosure Programs
• List of Bug Bounty Programs
• The Internet Bug Bounty
• Google Vulnerability Reward Program
• The History of Bug Bounty Programs
• Le business du Bug Bounty
• The ultimate Bug Bounty List & Disclosure Programs
• Plateforme de bug bounty bounty factory

•   Portail de l’informatique
•   Portail de la sécurité informatique
•   Portail de la programmation informatique