Prime aux bogues

Un article de Wikipédia, l'encyclopédie libre.
(Redirigé depuis Bug bounty)

Une prime aux bogues (aussi appelée chasse aux bogues ; en anglais, bug bounty) est un programme de récompenses proposé par de nombreux sites web et développeurs de logiciel qui offre des récompenses aux personnes qui rapportent des bogues, surtout ceux associés à des vulnérabilités. Ces programmes permettent aux développeurs de découvrir et de corriger des bogues avant que les pirates informatiques et le grand public en soient informés, évitant ainsi des abus. Des primes aux bogues ont été mises en place par Facebook[1], Yahoo![2], Google[3], Reddit[4], et Square[5].

Historique[modifier | modifier le code]

La première prime aux bogues fut la création de Jarrett Ridlinghafer alors qu'il travaillait au soutien technique de Netscape Communications Corporation en tant qu'ingénieur[6].

Netscape encourageait ses employés à dépasser leurs limites et faire ce qui devait être fait pour que le travail soit fini et, au début de l'année 1995, Ridlinghafer a ainsi eu l'idée de la prime aux bogues.

Il s'est rendu compte qu'il y avait de nombreux enthousiastes autour des produits de Netscape, presque des fanatiques, surtout concernant le navigateur Web Mosaic/Netscape/Mozilla. Il a donc commencé à étudier ce phénomène plus en détail et il a découvert que ces fanatiques étaient en réalité des ingénieurs logiciels qui s'occupaient de corriger les bogues du navigateur de leur côté et qui publiaient leurs corrections ou leurs solutions de contournement :

  • sur les nouveaux forums qui avaient été lancés par le soutien technique de Netscape afin de permettre une aide par la collaboration (une autre idée de Ridlinghafer durant ses quatre années de travail à Netscape) ;
  • sur le site non officiel Netscape U-FAQ où tous les bogues connus et les fonctionnalités du navigateur étaient listés, ainsi que des instructions concernant les solutions de contournement et les correctifs.

Ridlinghafer pensait que la compagnie devait tirer profit de ces ressources, il a donc écrit une proposition pour le programme de prime aux bogues qu'il a présenté à son superviseur qui lui a suggéré de présenter son projet à la prochaine réunion exécutive de la compagnie.

À la réunion exécutive suivante, à laquelle participaient James Barksdale, Marc Andreessen et les directeurs de chaque département incluant le service d'ingénierie, chaque membre a reçu une copie de la proposition et Ridlinghafer a été invité à présenter son idée à l'équipe exécutive de Netscape.

Toutes les personnes présentes à cette réunion ont été emballées par l'idée, excepté le directeur de l'ingénierie, qui ne voulait pas en entendre parler, pensant que c'était une perte de temps et de ressources. Néanmoins, le reste de l'équipe exécutive est passé outre l'avis du directeur de l'ingénierie et a donné à Ridlinghafer un budget initial de 50 000 $ afin de mettre en place sa proposition. Le programme fut lancé en 1995[7].

Ce programme a eu tellement de succès qu'il est encore mentionné dans de nombreux ouvrages traitant des succès de Netscape, et de nombreuses organisations (notamment Google) ont affiché sur la page de son programme de prime aux bogues un crédit à mozilla.org.

Incidents[modifier | modifier le code]

En , un étudiant en informatique nommé Khalil a utilisé un exploit afin de poster une lettre sur le profil Facebook de Mark Zuckerberg. Selon le hacker, il a essayé de reporter cette vulnérabilité au programme de prime aux bogues de Facebook, mais à cause d'un rapport assez flou, l'équipe lui a répondu que sa vulnérabilité n'était pas un bogue[8].

Une carte de crédit "White Hat", donnée par Facebook aux chercheurs rapportant des bogues.

Facebook a commencé à payer des chercheurs qui trouvent et rapportent des bogues de sécurité en leur délivrant une carte de crédit customisée White Hat qui peut être rechargée à chaque fois que les chercheurs découvrent de nouveaux défauts. « Les chercheurs qui trouvent des bogues et des améliorations de sécurité sont rares, nous reconnaissons leur travail et nous devons trouver une solution pour les récompenser », a dit Ryan McGeehan, manager de l'équipe sécurité à Facebook, dans une interview à CNET. « Avoir cette carte noire exclusive est une autre façon de les reconnaître. Ils peuvent aller dans une conférence, montrer cette carte et dire J'ai fait un travail spécial pour Facebook. »[9] En 2014, Facebook a décidé d'arrêter de distribuer ces cartes à ses chercheurs.

L'Inde, qui est le second pays au monde avec le plus de chasseurs de bogues[10], trône au sommet du Programme de prime aux bogues de Facebook avec le plus grand nombre de bogues valides. « Les chercheurs en Russie gagnent le plus en 2013 avec leurs rapports de bogues, recevant une moyenne de 3961 $ pour 38 bogues. L'Inde a le plus de bogues valides, 136 au total, avec une récompense de 1353 $. Les États-Unis ont rapporté 92 problèmes et ont une récompense moyenne de 2272 $. Le Brésil et le Royaume-Uni étaient les troisième et quatrième du classement concernant le volume rapporté, avec respectivement 53 bogues et 40 bogues, et une récompense moyenne de 3792 $ et 2950 $", a rapporté Facebook dans un article[11].

Yahoo! a été sévèrement critiqué pour avoir envoyé des T-shirts Yahoo! comme récompense aux chercheurs en sécurité qui ont trouvé et rapporté des vulnérabilités de Yahoo!, provoquant ce qui a été appelé le T-shirt-gate[12]. High-Tech Bridge (en), une société testant la sécurité des applications et basée en Suisse, a publié un communiqué disant que Yahoo! offrait 12,5 $ par vulnérabilité en bons d'achat pouvant être utilisés uniquement pour des produits de la marque Yahoo! comme des t-shirts, des tasses et des stylos. Ramses Martinez, directeur de l'équipe de sécurité de Yahoo a déclaré plus tard dans une publication de blogue[13] qu'il était derrière le programme de récompense en bons d'achat et qu'il a dû payer lui-même ces bons. Yahoo! a lancé son nouveau programme de prime aux bogues le de la même année, permettant aux chercheurs de soumettre les bogues qu'ils ont trouvés et de toucher une récompense entre 250 $ et 15 000 $, dépendant de la sévérité des bogues découverts[14].

Programmes notables[modifier | modifier le code]

En , Google a annoncé un changement majeur à son programme de prime aux bogues qui couvrait déjà de nombreux produits Google. Le changement étendait le programme à une sélection de logiciels libres considérés à haut risque et de bibliothèques logicielles, en priorité celles conçues pour les réseaux informatiques ou pour les fonctionnalités précises des systèmes d'exploitation. Les soumissions qui respectaient les critères de Google étaient éligibles à des récompenses variant de 500 $ à 3 133,7 $[15],[16].

Dans le même ordre d'idées, Microsoft et Facebook se sont associés en pour commanditer The Internet Bug Bounty, un programme offrant des récompenses pour des rapports sur des exploits et des bogues concernant une large gamme de logiciels liés à Internet[17]. Dans les logiciels couverts par ce programme, on trouve Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, Nginx, Apache HTTP Server, et Phabricator. De plus, le programme offre des récompenses pour les exploits concernant les systèmes d'exploitation et les navigateurs fréquemment utilisés[18].

En Europe, les principaux acteurs sont les français YesWeHack et Yogosha, le néerlandais Zerocopter, tandis qu'au niveau mondial HackerOne est leader [19].

Références[modifier | modifier le code]

  1. (en) Facebook Security, « Facebook WhiteHat », Facebook, (consulté le 11 mars 2014)
  2. (en) « Yahoo! Bug Bounty Program », HackerOne (consulté le 11 mars 2014)
  3. (en) « Vulnerability Assessment Reward Program », Google (consulté le 11 mars 2014)
  4. (en) « Reddit - whitehat », Reddit (consulté le 30 mai 2015)
  5. (en) « Square bug bounty program », Hackrone (consulté le 6 août 2014)
  6. (en) « Jarrett Neil Ridlinghafer - Linkedin » (consulté le 22 janvier 2016)
  7. (en) « Netscape announces Netscape Bugs Bounty with relaase of nestscape navigator 2.0 », Internet Archive (consulté le 21 janvier 2015)
  8. (en) « Hacker posts Facebook bug report on Zuckerberg’s wall », RT, (consulté le 11 mars 2014)
  9. (en) Facebook Whitehat, « Facebook whitehat Debit card », CNET
  10. (en) Indian Researchers, « Indian Bug Hunters tops the world », DNA Newspaper, DNA News
  11. (en) Facebook BugBounty Update, « Facebook's Update on Bug Bounty Program », Facebook Security
  12. (en) Yahoo! T-shirt Gate, « Yahoo! T-shirt gate », ZDNet
  13. (en) Yahoo! Bug Bounty, « So I’m the guy who sent the t-shirt out as a thank you. », Ramses Martinez (consulté le 2 octobre 2013)
  14. (en) Yahoo! BugBounty Program, « Yahoo! launched its Bug Bounty Program », Ramses Martinez (consulté le 31 octobre 2013)
  15. (en) Dan Goodin, « Google offers "leet" cash prizes for updates to Linux and other OS software », Ars Technica, (consulté le 11 mars 2014)
  16. (en) Michal Zalewski, « Going beyond vulnerability rewards », Google Online Security Blog, (consulté le 11 mars 2014)
  17. (en) Dan Goodin, « Now there’s a bug bounty program for the whole Internet », Ars Technica, (consulté le 11 mars 2014)
  18. (en) « The Internet Bug Bounty », HackerOne (consulté le 11 mars 2014)
  19. « YesWeHack et son hacking éthique lève 4 millions d’euros », sur start.lesechos.fr (consulté le 27 février 2020)

Voir aussi[modifier | modifier le code]

Liens externes[modifier | modifier le code]