Prime aux bogues
Une prime aux bogues (aussi appelée chasse aux bogues ; en anglais, bug bounty) est un programme de récompenses proposé par de nombreux sites web et développeurs de logiciel qui offre des récompenses aux personnes qui rapportent des bogues, surtout ceux associés à des vulnérabilités. Ces programmes permettent aux développeurs de découvrir et de corriger des bogues avant que les pirates informatiques et le grand public en soient informés, évitant ainsi des abus. Des primes aux bogues ont été mises en place par les sites internets Facebook[1], Yahoo![2], Google[3], Reddit[4], et l'entreprise de paiement mobile Square (qui a changé de nom pour Block en 2021)[5].
Historique
La première prime aux bogues fut la création de Jarrett Ridlinghafer alors qu'il travaillait au soutien technique de Netscape Communications Corporation en tant qu'ingénieur[6].
Netscape encourageait ses employés à dépasser leurs limites et faire ce qui devait être fait pour que le travail soit fini et, au début de l'année 1995, Ridlinghafer a ainsi eu l'idée de la prime aux bogues.
Il s'est rendu compte qu'il y avait de nombreux enthousiastes autour des produits de Netscape, presque des fanatiques, surtout concernant le navigateur Web Mosaic/Netscape/Mozilla. Il a donc commencé à étudier ce phénomène plus en détail et il a découvert que ces fanatiques étaient en réalité des ingénieurs logiciels qui s'occupaient de corriger les bogues du navigateur de leur côté et qui publiaient leurs corrections ou leurs solutions de contournement :
- sur les nouveaux forums qui avaient été lancés par le soutien technique de Netscape afin de permettre une aide par la collaboration (une autre idée de Ridlinghafer durant ses quatre années de travail à Netscape) ;
- sur le site non officiel Netscape U-FAQ où tous les bogues connus et les fonctionnalités du navigateur étaient listés, ainsi que des instructions concernant les solutions de contournement et les correctifs.
Ridlinghafer pensait que l'entreprise devait tirer profit de ces ressources, il a donc écrit une proposition pour le programme de prime aux bogues qu'il a présenté à son superviseur qui lui a suggéré de présenter son projet à la prochaine réunion exécutive de la compagnie.
À la réunion exécutive suivante, à laquelle participaient James Barksdale, Marc Andreessen et les directeurs de chaque département incluant le service d'ingénierie, chaque membre a reçu une copie de la proposition et Ridlinghafer a été invité à présenter son idée à l'équipe exécutive de Netscape.
Toutes les personnes présentes à cette réunion ont été emballées par l'idée, excepté le directeur de l'ingénierie, qui ne voulait pas en entendre parler, pensant que c'était une perte de temps et de ressources. Néanmoins, le reste de l'équipe exécutive est passé outre l'avis du directeur de l'ingénierie et a donné à Ridlinghafer un budget initial de 50 000 $ afin de mettre en place sa proposition. Le programme fut lancé en 1995[7].
Ce programme a eu tellement de succès qu'il est encore mentionné dans de nombreux ouvrages traitant des succès de Netscape, et de nombreuses organisations (notamment Google) ont affiché sur la page de son programme de prime aux bogues un crédit à mozilla.org.
Programmes notables
Facebook a commencé à payer des chercheurs qui trouvent et rapportent des bogues de sécurité en leur délivrant une carte de crédit customisée White Hat qui peut être rechargée à chaque fois que les chercheurs découvrent de nouveaux défauts. « Les chercheurs qui trouvent des bogues et des améliorations de sécurité sont rares, nous reconnaissons leur travail et nous devons trouver une solution pour les récompenser », a dit Ryan McGeehan, manager de l'équipe sécurité à Facebook, dans une interview à CNET. « Avoir cette carte noire exclusive est une autre façon de les reconnaître. Ils peuvent aller dans une conférence, montrer cette carte et dire J'ai fait un travail spécial pour Facebook. »[8] En 2014, Facebook a décidé d'arrêter de distribuer ces cartes à ses chercheurs.
En , Google a annoncé un changement majeur à son programme de prime aux bogues qui couvrait déjà de nombreux produits Google. Le changement étendait le programme à une sélection de logiciels libres considérés à haut risque et de bibliothèques logicielles, en priorité celles conçues pour les réseaux informatiques ou pour les fonctionnalités précises des systèmes d'exploitation. Les soumissions qui respectaient les critères de Google étaient éligibles à des récompenses variant de 500 $ à 3 133,7 $[9] - [10].
Dans le même ordre d'idées, Microsoft et Facebook se sont associés en pour commanditer The Internet Bug Bounty, un programme offrant des récompenses pour des rapports sur des exploits et des bogues concernant une large gamme de logiciels liés à Internet[11]. Dans les logiciels couverts par ce programme, on trouve Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, Nginx, Apache HTTP Server, et Phabricator. De plus, le programme offre des récompenses pour les exploits concernant les systèmes d'exploitation et les navigateurs fréquemment utilisés[12].
En Europe, les principaux acteurs sont les français YesWeHack et Yogosha, Intigriti[13], le néerlandais Zerocopter, tandis qu'au niveau mondial HackerOne est leader [14].
Pays d'origine des chasseurs de bogues
L'Inde, qui est le second pays au monde avec le plus de chasseurs de bogues[15], trône au sommet du Programme de prime aux bogues de Facebook avec le plus grand nombre de bogues valides. « Les chercheurs en Russie gagnent le plus en 2013 avec leurs rapports de bogues, recevant une moyenne de 3961 $ pour 38 bogues. L'Inde a le plus de bogues valides, 136 au total, avec une récompense de 1353 $. Les États-Unis ont rapporté 92 problèmes et ont une récompense moyenne de 2272 $. Le Brésil et le Royaume-Uni étaient les troisième et quatrième du classement concernant le volume rapporté, avec respectivement 53 bogues et 40 bogues, et une récompense moyenne de 3792 $ et 2950 $", a rapporté Facebook dans un article[16].
Incidents
Yahoo! a été sévèrement critiqué pour avoir envoyé des T-shirts Yahoo! comme récompense aux chercheurs en sécurité qui ont trouvé et rapporté des vulnérabilités de Yahoo!, provoquant ce qui a été appelé le T-shirt-gate[17] : High-Tech Bridge (en), une société testant la sécurité des applications et basée en Suisse, a publié un communiqué disant que Yahoo! offrait 12,5 $ par vulnérabilité (soit le prix d'un t-shirt) en bons d'achat pouvant être utilisés uniquement pour des produits de la marque Yahoo! comme des t-shirts, des tasses et des stylos. Ramses Martinez, directeur de l'équipe de sécurité de Yahoo a déclaré plus tard dans une publication de blogue[18] qu'il était derrière le programme de récompense en bons d'achat et qu'il a dû payer lui-même ces bons. On comprend dans l'interview qu'il n'y avait pas d'arrière pensée, et qu'il souhaitait juste remercier le chasseur de bogues avec plus qu'un simple email[17]. Par réaction, Yahoo! a lancé son nouveau programme de prime aux bogues le de la même année, permettant aux chercheurs de soumettre les bogues qu'ils ont trouvés et de toucher une récompense entre 250 $ et 15 000 $, dépendant de la sévérité des bogues découverts[19].
Références
- (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Bug bounty program » (voir la liste des auteurs).
- (en) Facebook Security, « Facebook WhiteHat », Facebook, (consulté le )
- (en) « Yahoo! Bug Bounty Program », HackerOne (consulté le ).
- (en) « Vulnerability Assessment Reward Program », Google (consulté le )
- (en) « Reddit - whitehat », Reddit (consulté le ).
- (en) « Square bug bounty program », Hackrone (consulté le ).
- (en) « Jarrett Neil Ridlinghafer - Linkedin » (consulté le ).
- (en) « Netscape announces Netscape Bugs Bounty with relaase of nestscape navigator 2.0 », Internet Archive (consulté le ).
- (en) Facebook Whitehat, « Facebook whitehat Debit card », CNET.
- (en) Dan Goodin, « Google offers "leet" cash prizes for updates to Linux and other OS software », Ars Technica, (consulté le ).
- (en) Michal Zalewski, « Going beyond vulnerability rewards », Google Online Security Blog, (consulté le ).
- (en) Dan Goodin, « Now there’s a bug bounty program for the whole Internet », Ars Technica, (consulté le ).
- (en) « The Internet Bug Bounty », HackerOne (consulté le ).
- « La Commission européenne lance un nouveau programme de chasse aux bugs dans cinq logiciels libres », ZDNet (consulté le ).
- « YesWeHack et son hacking éthique lève 4 millions d’euros », sur start.lesechos.fr (consulté le ).
- (en) Indian Researchers, « Indian Bug Hunters tops the world », DNA Newspaper, DNA News.
- (en) Facebook BugBounty Update, « Facebook's Update on Bug Bounty Program », Facebook Security.
- (en) Yahoo! T-shirt Gate, « Yahoo! T-shirt gate », ZDNet.
- (en) Yahoo! Bug Bounty, « So I’m the guy who sent the t-shirt out as a thank you. », Ramses Martinez (consulté le ).
- (en) Yahoo! BugBounty Program, « Yahoo! launched its Bug Bounty Program », Ramses Martinez (consulté le ).