Les chasseurs de prime modernes ne courent ni après les repris de justice ni après les fuyards, mais après les bugs. Dans le secteur de la cybersécurité, ces chasseurs de failles prennent ainsi part à ce que l’on appelle des bug bounty, des défis organisés par des entreprises qui récompensent d’une prime le hackeur qui trouve la faiblesse de sécurité qui aurait pu leur coûter bien plus cher que la récompense. Au nom d'entreprises cherchant à améliorer leur système, des plateformes proposent des défis visant à trouver une faille de sécurité. Celui qui l'a trouve, empoche la prime. Cela s'appelle le Bug Bounty.
Wanted. Mise à prix sur une faille de sécurité. Les entreprises, en plus d'audits informatiques classiques, font de plus en plus appel à la communauté de hackers blancs, ou « gentils pirates », pour trouver les vulnérabilités de leur système. Le concept est très proche de celui des chasseur de prime : une faille découverte est rémunérée par une récompense sonnante et trébuchante.
L'objectif est, contre une commission allant de 15 % à 25 %, de proposer du travail à des informaticiens et d'offrir un lieu de tests communautaires aux entreprises et institutions. Pour ces dernières, l'intérêt est de réduire très fortement le coût par rapport à un audit classique. Seules les failles trouvées sont rémunérées, permettant de contrôler son budget. Enfin, contrairement aux interventions de sociétés de conseil qui demeurent ponctuelles, le Bug Bounty permet une amélioration continue… face des tentatives d'attaques qui ne cessent de s'adapter et de s'améliorer au quotidien.
Equipe de Bounty Factory. Manuel Dorne, co-fondateur de Yes We Hack et de Bounty Factory, à gauche sur la photo.
Ce concept se développe en France porté par trois startups : Yogosha, Bug Bounty Zone et Bounty Factory. Les deux premières font le pari d'une sélection poussée des hackers, qui ne peuvent accéder aux défis – et donc aux probables vulnérabilités des entreprises – qu'après avoir passé un cap de sélection en amont. « Nous avons fait le choix d'avoir une plateforme fermée où les « chercheurs » sont invités, et donc sélectionnés par nos soins », explique Yassir Kazar, co-fondateur de la plateforme Yogosha, sur laquelle une vingtaine de programmes sont actuellement en cours.
La plateforme Bounty Factory, lancée il y a un an par le job board Yes We Hack, se veut moins sélectif… et donc plus ouvert. Par exemple, le défi lancé par l'hébergeur OVH, est ouvert à tous ceux qui acceptent les conditions d'utilisation de la plateforme, notamment l'obligation de confidentialité. « Nous cadrons toujours très bien la partie juridique pour protéger l'image de la société recourant à notre plateforme », argumente Manuel Dorne, fondateur de la plateforme et blogger plus connu sous le nom de Korben.
Aujourd'hui, Bounty Factory accueille 1 800 hackers blancs. Le record de prime sur un mois perçu par un hacker est actuellement de 5 000 euros. Mais, avec l'engouement croissant de PME, grands groupes et même de banques, la manne financière devrait se renforcer dans les mois à venir.
