Bug bounty

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Un bug bounty est un programme proposé par de nombreux sites web et développeurs de logiciel qui permet à des personnes de recevoir reconnaissance et compensation après avoir reporté des bugs, surtout ceux concernant des exploits et des vulnérabilités. Ces programmes permettent aux développeurs de découvrir et de corriger des bugs avant que le grand public en soit informé, évitant ainsi des abus. Les bugs bounty ont été mis en place par Facebook[1], Yahoo![2], Google[3], Reddit[4], et Square[5].

Historique[modifier | modifier le code]

Le premier programme "Bugs Bounty" fût la création de Jarrett Ridlinghafer alors qu'il travaillait au support technique de Netscape Communications Corporation en tant qu'ingénieur[6].

Netscape encourageait ses employés à dépasser leurs limites et faire ce qui devait être fait pour que le travail soit fini et, au début de l'année 1995, Ridlinghafer a ainsi eu l'idée des 'Bugs Bounty'.

Il s'est rendu compte qu'il y avait de nombreux enthousiastes autour des produits de Netscape, presque des fanatiques, surtout concernant le navigateur Mosaic/Netscape/Mozilla. Il a donc commencé à étudier ce phénomène plus en détail et il a découvert que ces 'fanatiques' étaient en réalité des ingénieurs logiciel qui s'occupaient de corriger les bugs du navigateur de leur côté et qui publiaient leurs corrections ou leurs solutions de contournement :

  • sur les nouveaux forums qui avaient été lancés par le support technique de Netscape afin de permettre "une aide par la collaboration" (une autre idée de Ridlinghafer durant ses quatre ans de travail à Netscape) ; ou
  • sur le site non officiel "Netscape U-FAQ" où tous les bugs connus et les fonctionnalités du navigateur étaient listés, ainsi que des instructions concernant les solutions de contournement et les correctifs

Ridlinghafer pensait que la compagnie devait tirer profit de ces ressources, il a donc écrit une proposition pour le 'Programme Bugs Bounty de Netscape', qu'il a présenté à son manager qui lui a suggéré de présenter son projet à la prochaine réunion exécutive de la compagnie.

À la réunion exécutive suivant, à laquelle participaient James Barksdale, Marc Andreessen et les directeurs de chaque département incluant le service ingénierie, chaque membre a reçu une copie de la proposition 'Programme Bugs Bounty de Netscape' et Ridlinghafer a été invité à présenter son idée à l'équipe exécutive de Netscape.

Toutes les personnes présentes à cette réunion ont été emballées par l'idée, excepté le directeur de l'ingénierie, qui ne voulait pas en entendre parler, pensant que c'était une perte de temps et de ressources. Néanmoins, le reste de l'équipe exécutive est passé outre l'avis du directeur de l'ingénierie et a donné à Ridlinghafer un budget initial de 50.000 $ afin de mettre en place sa proposition. Le premier programme 'Bugs Bounty' fut lancé en 1995[7].

Ce programme a eu tellement de succès qu'il est encore mentionné dans de nombreux ouvrages traitant des succès de Netscape, et de nombreuses organisations (notamment Google) ont affiché sur leur page de programme 'Bugs Bounty' un crédit à mozilla.org.

Incidents[modifier | modifier le code]

En août 2013, un étudiant en informatique nommé Khalil a utilisé une exploit afin de poster une lettre sur le profil Facebook de Mark Zuckerberg. Selon le hacker, il a essayé de reporter cette vulnérabilité au programme Bugs Bounty de Facebook, mais à cause d'un rapport assez flou, l'équipe lui a répondu que sa vulnérabilité n'était pas un bug[8].

Une carte de crédit "White Hat", donnée par Facebook aux chercheurs rapportant des bugs.

Facebook a commencé à payer des chercheurs qui trouvent et rapportent des bugs de sécurité en leur délivrant une carte de crédit customisée "White Hat" qui peut être rechargée à chaque fois que les chercheurs découvrent de nouveaux défauts. "Les chercheurs qui trouvent des bugs et des améliorations de sécurité sont rares, nous reconnaissons leur travail et nous devons trouver une solution pour les récompenser", a dit Ryan McGeehan, manager de l'équipe sécurité à Facebook, dans une interview à CNET. "Avoir cette carte noire exclusive est une autre façon de les reconnaître. Ils peuvent aller dans une conférence, montrer cette carte et dire 'J'ai fait un travail spécial pour Facebook.'"[9] En 2014, Facebook a décidé d'arrêter de distribuer ces cartes à ses chercheurs.

L'Inde, qui est le second pays au monde avec le plus de chasseurs de bugs[10] , trône au sommet du Facebook Bug Bounty Program avec le plus grand nombre de bugs valides. "Les chercheurs en Russie gagnent le plus en 2013 avec leurs rapports de bugs, recevant une moyenne de 3.961 $ pour 38 bugs. L'Inde a le plus de bugs valides, 136 au total, avec une récompense de 1.353 $. Les États-Unis ont rapporté 92 problèmes et ont une récompense moyenne de 2.272 $. Le Brésil et le Royaume-Uni était les troisième et quatrième du classement concernant le volume rapporté, avec respectivement 53 bugs et 40 bugs, et une récompense moyenne de 3.792 $ et 2.950 $", a rapporté Facebook dans un article[11].

Yahoo! a été sévèrement critiqué pour avoir envoyé des T-shirts Yahoo! comme récompense aux chercheurs en sécurité qui ont trouvé et rapporté des vulnérabilités de Yahoo!, provoquant ce qui a été appelé le T-shirt-gate[12]. High-Tech Bridge (en), une société testant la sécurité des applications et basée en Suisse, a publié un communiqué disant que Yahoo! offrait 12.5 $ par vulnérabilité en bons d'achat pouvant être utilisés uniquement pour des produits de la marque Yahoo! comme des t-shirts, des tasses et des stylos. Ramses Martinez, directeur de l'équipe de sécurité de Yahoo a déclaré plus tard dans une publication de blog [13] qu'il était derrière le programme de récompense en bons d'achat et qu'il a dû payer lui-même ces bons. Néanmoins, Yahoo! a lancé son nouveau programme de bug bounty le 31 octobre de la même année, permettant aux chercheurs de soumettre les bugs qu'ils ont trouvé et de toucher une récompense entre 250 $ et 15.000 $, dépendant de la sévérité des bugs découverts[14].

Programmes notables[modifier | modifier le code]

En octobre 2013, Google a annoncé un changement majeur apporté à son programme de Bugs Bounty. Avant, il y avait un programme couvrant de nombreux produits Google. Le changement a permis d'étendre les limites de ce programme et de prendre en compte une sélection de logiciels libres considérés à hauts risques et de librairies, en priorité celles conçues pour les réseaux informatiques ou pour les fonctionnalités précises des systèmes d'exploitation. Les candidatures qui sembleront respecter le règlement de Google seront éligible à des récompenses dont le montant se situe entre 500 $ et 3133.7 $[15],[16].

Dans le même genre, Microsoft et Facebook se sont associés en novembre 2013 pour sponsoriser The Internet Bug Bounty, un programme offrant des récompenses pour des rapports sur des exploits et des bugs concernant une large gamme de logiciels directement liés à Internet[17] Dans les logiciels couverts par ce programme, on trouve Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, Nginx, Apache HTTP Server, et Phabricator. De plus, le programme offre des récompenses pour les exploits concernant les systèmes d'exploitation et les navigateurs fréquemment utilisés[18].

Références[modifier | modifier le code]

  1. (en) Facebook Security, « Facebook WhiteHat », Facebook, (consulté le 11 mars 2014)
  2. (en) « Yahoo! Bug Bounty Program », HackerOne (consulté le 11 mars 2014)
  3. (en) « Vulnerability Assessment Reward Program », Google (consulté le 11 mars 2014)
  4. (en) « Reddit - whitehat », Reddit (consulté le 30 mai 2015)
  5. (en) « Square bug bounty program », Hackrone (consulté le 6 août 2014)
  6. (en) « Jarrett Neil Ridlinghafer - Linkedin » (consulté le 22 janvier 2016)
  7. (en) « Netscape announces Netscape Bugs Bounty with relaase of nestscape navigator 2.0 », Internet Archive (consulté le 21 janvier 2015)
  8. (en) « Hacker posts Facebook bug report on Zuckerberg’s wall », RT, (consulté le 11 mars 2014)
  9. (en) Facebook Whitehat, « Facebook whitehat Debit card », CNET
  10. (en) Indian Researchers, « Indian Bug Hunters tops the world », DNA Newspaper, DNA News
  11. (en) Facebook BugBounty Update, « Facebook's Update on Bug Bounty Program », Facebook Security
  12. (en) Yahoo! T-shirt Gate, « Yahoo! T-shirt gate », ZDNet
  13. (en) Yahoo! Bug Bounty, « So I’m the guy who sent the t-shirt out as a thank you. », Ramses Martinez (consulté le 2 octobre 2013)
  14. (en) Yahoo! BugBounty Program, « Yahoo! launched its Bug Bounty Program », Ramses Martinez (consulté le 31 octobre 2013)
  15. (en) Dan Goodin, « Google offers "leet" cash prizes for updates to Linux and other OS software », Ars Technica, (consulté le 11 mars 2014)
  16. (en) Michal Zalewski, « Going beyond vulnerability rewards », Google Online Security Blog, (consulté le 11 mars 2014)
  17. (en) Dan Goodin, « Now there’s a bug bounty program for the whole Internet », Ars Technica, (consulté le 11 mars 2014)
  18. (en) « The Internet Bug Bounty », HackerOne (consulté le 11 mars 2014)

Liens externes[modifier | modifier le code]