Chasseurs de primes, traqueurs de bugs

Empêtré dans le scandale Cambridge Analytica, Facebook a multiplié les excuses et annoncé plusieurs mesures visant à mieux protéger les données utilisateurs. Dont l’extension de son programme de Bug Bounty, qui invite les hackers du monde entier à partir à la chasse aux bugs nichés dans ses solutions contre récompense. L’affaire Cambridge Analytica ayant mis en lumière le détournement par une app tierce de dizaines de millions de données d’utilisateurs, le programme «Data Abuse Bounty» de Facebook promet une prime de minimum 500 dollars à quiconque découvrira non pas une faille technique, comme dans un Bug Bounty classique, mais une application qui abuserait des données des membres du réseau social. Facebook intensifie donc son recours à l’expertise de la foule, à l’instar de Microsoft, qui a également inauguré un nouveau Bug Bounty suite à la découverte des failles Meltdown et Spectre affectant les microprocesseurs. Le principe du Bug Bounty a aussi séduit Swisscom, qui propose son propre programme depuis fin 2015.

Les avantages d’un programme Bug Bounty

Selon un rapport récent de la plateforme HackerOne, la plupart des hackers constatent que les entreprises sont davantage disposées que par le passé à recevoir des signalements de vulnérabilité. Certaines optent pour une démarche proactive avec souvent une page dédiée sur leur site qui promet explicitement des récompenses. C’est typiquement le cas de la plupart des chasses aux bugs des firmes du secteur numérique, à l’image des programmes de Facebook, de Google, de Microsoft ou de celui de Swisscom. Pour les entreprises, la mise en place d’un Bug Bounty présente l’avantage indéniable de bénéficier à moindre frais d’un service de cybersécurité de pointe, en se basant sur le principe du crowdsourcing.

Stéphane Grundchober, Vulnerabilty Manager chez Swisscom, explique à ICTjournal: «Le programme Bug Bounty offre un bon retour sur investissement, étant donné qu’une prime n’est accordée que pour les failles de sécurité avérées. Le programme est complémentaire à un mandat d’audit de sécurité classique, ce dernier étant ponctuel, relativement plus coûteux, mais aussi plus approfondi et systématique. Un autre avantage est de pouvoir bénéficier de l’expertise de chercheurs à l’échelle mondiale, dont certains ont des compétences extrêmement pointues. Il y a un intérêt mutuel, les hackers qui découvrent des vulnérabilités pour une entreprise de notre réputation peuvent ensuite les communiquer pour mettre en avant leur expertise.»

Un intérêt marqué du côté des banques

Pour profiter des avantages d’un Bug Bounty en s’évitant certains désagréments, les entreprises peuvent aussi choisir de passer par des plateformes de mise en relation avec des chasseurs de bugs. Par exemple HackerOne, mais aussi Bugcrowd, Yogosha ou Bounty Factory (de la communauté de hackers YesWeHack). Via ces intermédiaires, les organisations ont l’opportunité de rapidement faire appel à une foule de chercheurs, de faire l’économie des frais de gestion qu’engendrent ces programmes et de paramétrer les campagnes à leur guise, en mode public mais aussi en mode privé (les hackers de la communauté reçoivent alors une invitation). De quoi inciter des firmes non issues du numérique à faire le pas vers la chasse aux bugs en mode crowdsourcing.

La plateforme Bugcrowd observe ainsi une diversification progressive de ses clients, le domaine de la finance pointant en première ligne des secteurs non-technologiques. Parmi les motivations à faire appel à une communauté de hackers, les banques mentionnent en premier lieu l’accès à des compétences variées et uniques, ainsi que le fait de pouvoir payer uniquement en cas de résultats obtenus. Sans nommer explicitement la procédure un Bug Bounty, certaines banques affichent même directement sur leur site leur politique et les moyens de leur divulguer une vulnérabilité, tout en offrant des récompenses. C’est notamment le cas d’ABN Amro et d’ING. Selon les informations de l’annuaire proposé par HackerOne, ni UBS ni Crédit Suisse ne disposent de directives publiques pour leur signaler des failles.

Une démarche risquée et pas toujours pertinente

Attirant des entreprises de plus en plus diversifiées, ces campagnes publiques de quête aux bugs restent néanmoins encore peu adoptées. Franck Calcavecchia, Information Security Officer aux Hôpitaux Universitaires de Genève (HUG), privilégie par exemple les tests d’intrusion plus poussés et ciblés. Il confie à la rédaction: «Je suis persuadé que le principe d’ouverture inhérent au Bug Bounty avec rémunération participe à identifier davantage de failles. Mais aux HUG nous n’avons pas cette démarche, qui me semble surtout pertinente pour des fournisseurs de solutions mises à disposition du public. Nous préférons compter sur un Web Application Firewall et faire appel à des sociétés de hacking éthique pour réaliser des tests d’intrusion.»

Egalement contacté, le CIO d’une importante collectivité publique romande observe que, contrairement au Bug Bounty, les services de sociétés spécialisées permettent d’éviter de susciter l’intérêt de hackers malveillants. Un risque qu’il serait effectivement malvenu de négliger. En entretien avec ICTjournal, Sergio Alves Domingues, CTO de la firme de cybersécurité romande SCRT, prévient que des participants malveillants pourraient demander davantage que la prime prévue, ou revendre leurs découvertes sur le marché noir. Voire sur un marché gris formé de firmes au business controversé mais aux récompenses élevées. A l’instar de la plateforme Zerodium, qui fait commerce de failles qui ne seront pas rendues publiques mais revendues au plus offrant, peu importe qu’il s’agisse d’une entreprise, d’un courtier tiers ou d’un gouvernement. Seuls des hackers à l’éthique sans faille semblent en mesure de snober les gains promis par Zerodium, qui offre par exemple une prime permanente de 1,5 million de dollars pour la découverte d’une faille sur iOS permettant le jailbreak à distance avec persistance et en zéro clic.

Alternatives plus discrètes

Donner carte blanche à des hackers n’allant pas sans risques, des méthodes plus passives et plus discrètes qu’un Bug Bounty public existent. Le portail à but non lucratif OpenBugBounty permet ainsi aux hackers de signaler la découverte de failles affectant des sites web et inciter l’administrateur à le contacter pour, si désiré, lui remettre une prime. Les entreprises souhaitant faire profil bas ont aussi une autre alternative: placer à la racine de leur nom de domaine un fichier «security.txt» indiquant comment divulguer une vulnérabilité. Un procédé pour l’heure peu répandu. Tiago Henriques, CEO de la start-up zurichoise spécialisée en cybersécurité BinaryEdge, a mené un scan sur le web suisse à la demande d’ICTjournal. Résultat: sur près de 2 millions de domaines analysés, seuls 407 disposent d’un fichier security.txt.

En mode proactif ou passif, peu importe, les entreprises ont tout intérêt à donner aux hackers des indications sur la manière de leur révéler des vulnérabilités. Selon Hackerone, un chercheur sur quatre renonce à signaler un bug faute d’info disponible sur la façon de contacter les entreprises dans cette optique. Une lacune qui pousse les chasseurs de failles à se rabattre vers d’autres canaux inadéquats (réseaux sociaux, e-mails) sans savoir si leurs alertes y seront comprises ou ignorées.

Des chasseurs de bugs aux motivations multiples

Sans atteindre des récompenses comparables à celles de Zerodium, les géants du numériques promettent des primes a priori alléchantes. Microsoft promet ainsi jusqu’à 250 000 dollars pour l’identification d’une vulnérabilité matérielle et Google liste des récompenses pouvant atteindre plus de 30 000 dollars.

Les chercheurs qui s’engagent dans un Bug Bounty ne sont cependant pas uniquement titillés par l’appât du gain potentiel, suggère le rapport de HackerOne. Gagner de l’argent est aujourd’hui considéré comme moins incitatif qu’apprendre de nouvelles compétences, être challengé ou simplement se faire plaisir. Le plus souvent étudiants ou employés IT le jour et chasseurs de bugs la nuit, ces derniers sont en général autodidactes en matière de hacking. Ils ciblent de préférence les sites web, à une très nette majorité (70%). Suivent dans l’ordre les API, les technologies qui stockent leurs propres données, les apps Android, les systèmes d’exploitation et l’IoT. En revanche, les composants hardware n’ont pas du tout la cote. Un constat peu rassurant à l’aune des répercussions de la découverte des vulnérabilités Meltdown et Spectre qui, rappelons-le, se logeaient dans la plupart des processeurs du marché.