«Les primes d’un Bug Bounty doivent être suffisamment importantes»
Respectivement Chief Technical Officer et Ingénieur sécurité de la firme de cybersécurité romande SCRT, Sergio Alves Domingues et Daniel Le Gall évoquent les avantages et désavantages de la mise en place d’un programme Bug Bounty.
> Lire aussi sur le sujet: Chasseurs de primes, traqueurs de bugs
Quel est l’intérêt pour une entreprise de mettre en place un Bug Bounty?
Sergio Alves Domingues: Avec un Bug Bounty, une entreprise fait appel à des services gratuits tant que les vulnérabilités ne sont pas trouvées. Mais ces programmes ne remplaceront pas les tests d’intrusion menés par des sociétés de cybersécurité. Il s’agit d’une démarche complémentaire.
Daniel Le Gall: Pour une firme qui possède un environnement informatique d’une taille importante, pratiquer des tests d’intrusion sur tous ses systèmes est difficile et demande des moyens colossaux. Le crowdsourcing qui caractérise le concept du Bug Bounty peut donc s’avérer une solution pratique. En revanche, ces programmes ne permettront bien souvent que de dégrossir les vulnérabilités et d’identifier les failles les plus évidentes. Pour que les chercheurs de bugs prennent le temps d’effectuer un travail poussé et consacrent plusieurs jours à un système, les primes promises doivent être suffisamment importantes pour valoir le risque de s’y consacrer à perte. Il n’y a que les primes des programmes des géants comme Google ou Facebook qui sont en mesure d’inciter à prendre ce risque.
Proposer un Bug Bounty représente aussi un risque pour les entreprises…
SA: Effectivement, car en mettant en place un programme de Bug Bounty, une entreprise donne carte blanche à des spécialistes externes pour accéder à ses systèmes et chercher des bugs. Les failles identifiées pourraient ne pas être communiquées et être exploitées de manière non éthique. Il est impossible d’anticiper si un participant a des intentions bienveillantes ou non. Des chercheurs malveillants pourraient demander davantage que la prime prévue, ou revendre leurs découvertes sur le marché noir à des sociétés tierces. Pour lancer un Bug Bounty, une entreprise doit donc déjà avoir confiance en sa propre maturité et à la robustesse de ses logiciels et systèmes. Cela dit, certains secteurs ne feront jamais le pas vers un Bug Bounty public, notamment pour des questions de confidentialité, et préféreront toujours travailler avec des sociétés de cybersécurité de façon plus ciblée.
En Suisse, Swisscom a mis en place un Bug Bounty. Y participez-vous et comment se déroule-t-il?
DL: SCRT n’y participe pas mais je le fais de façon indépendante. Les chercheurs de bugs sont le plus souvent des indépendants ou, comme dans mon cas, des employés qui s’y adonnent durant leur temps libre. J’y consacre quelque chose comme 120 heures sur une année, pour une cinquantaine de bugs signalés. Le Bug Bounty de Swisscom ne liste pas de missions précises ni de cibles particulières. N’importe qui peut chercher tout type de bugs, sur n’importe quel système et en tout temps. En cas de bugs découverts, l’annonce se fait via un système de tickets. Une fois la découverte passée en revue par Swisscom, une prime est éventuellement distribuée si la vulnérabilité est jugée suffisamment grave. Dans le cas d’une faille de sécurité, Swisscom octroie le plus souvent une rémunération.
