Bounty Factory : l’Europe s’organise pour faire la chasse aux bugs

RisquesSécurité
bounty-factory
3 6

Avec Bounty Factory, une initiative française, l’Europe se dote d’une première plate-forme de recherche de vulnérabilités associant hackers et entreprises.

Fédérer des spécialistes en sécurité informatique et permettre aux entreprises de solliciter leur expertise pour découvrir des vulnérabilités : c’est le principe des « bug bountys ».

Ces programmes de recherche de failles prospèrent aux États-Unis avec des références comme BugCrowd et HackerOne. L’idée originale remonte à 1995, sous l’impulsion de Netscape, qui souhaitait renforcer les défenses de son navigateur.

La dynamique n’est pas la même en Europe. La première plate-forme du genre commence seulement à émerger. Baptisée « Bounty Factory », elle est de conception française, à l’initiative de Guillaume Vassault-Houlière (RSSI chez Qwant, éditeur d’un moteur de recherche) et du blogueur Korben.

Comment expliquer un tel décalage ? D’un côté, il a fallu apaiser les relations entre les hackers et les entreprises (la Nuit du Hack, dont la dernière édition en date a eu lieu au mois de juin 2015, y a contribué).

De l’autre, il existe des questions plus politiques. Notamment cette soumission au Patriot Act pour les entités américaines qui réalisent des audits de sécurité pour le compte de sociétés européennes.

Les discussions avec « des cellules étatiques » auront duré 18 mois pour s’assurer de la faisabilité du projet, aujourd’hui présenté comme « la première plate-forme européenne pour les programmes de recherche de vulnérabilités ».

Les compétences des spécialistes y seront fédérées dans une logique communautaire et dans un cadre légal (sans risques de poursuites).

Les jeux sont ouverts

Les entreprises publieront leurs programmes en spécifiant le « périmètre de jeu » (pages Web, applications mobiles, dates d’intervention…), les exclusions (infrastructure, systèmes en production…) et les techniques autorisées (XSS, injections SQL…).

La fiche de mission associée à chacun de ces programmes publics ou privés détaillera les récompenses attribuées.

Bounty Factory prélève 25 % dans le cas de récompenses financières (montant minimum : 50 euros).

Les hackers pourront aussi choisir d’être rémunérés avec des points qui leur permettront sans doute d’accéder à des programmes plus rémunérateurs. Ou de faire valoir leur expérience sur le site de recherche d’emploi « spécial sécurité IT » YesWeHack Job. Lequel s’inscrit, comme la Bounty Factory, dans une structure plus globale nommée YesWeHack et qui dispose aussi d’un agrégateur de « bug bountys » (Fire Bounty).

Encore en bêta privée pour environ 3 semaines, la plate-forme sera prochainement présentée aux sociétés de la French Tech. Comme le note Silicon.fr, d’autres entreprises ont déjà manifesté leur intérêt. Et plus d’une centaines de hackers ont répondu présent.

Un effort particulier a été mené pour mettre en place une infrastructure dédiée au projet. Les deux fondateurs ne cachent pas leur intention de lever des fonds pour optimiser, entre autres, la sécurité.

Crédit photo : Andrea Danti – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur