Pour gérer vos consentements :
Categories: RisquesSécurité

Bounty Factory : l’Europe s’organise pour faire la chasse aux bugs

Fédérer des spécialistes en sécurité informatique et permettre aux entreprises de solliciter leur expertise pour découvrir des vulnérabilités : c’est le principe des « bug bountys ».

Ces programmes de recherche de failles prospèrent aux États-Unis avec des références comme BugCrowd et HackerOne. L’idée originale remonte à 1995, sous l’impulsion de Netscape, qui souhaitait renforcer les défenses de son navigateur.

La dynamique n’est pas la même en Europe. La première plate-forme du genre commence seulement à émerger. Baptisée « Bounty Factory », elle est de conception française, à l’initiative de Guillaume Vassault-Houlière (RSSI chez Qwant, éditeur d’un moteur de recherche) et du blogueur Korben.

Comment expliquer un tel décalage ? D’un côté, il a fallu apaiser les relations entre les hackers et les entreprises (la Nuit du Hack, dont la dernière édition en date a eu lieu au mois de juin 2015, y a contribué).

De l’autre, il existe des questions plus politiques. Notamment cette soumission au Patriot Act pour les entités américaines qui réalisent des audits de sécurité pour le compte de sociétés européennes.

Les discussions avec « des cellules étatiques » auront duré 18 mois pour s’assurer de la faisabilité du projet, aujourd’hui présenté comme « la première plate-forme européenne pour les programmes de recherche de vulnérabilités ».

Les compétences des spécialistes y seront fédérées dans une logique communautaire et dans un cadre légal (sans risques de poursuites).

Les jeux sont ouverts

Les entreprises publieront leurs programmes en spécifiant le « périmètre de jeu » (pages Web, applications mobiles, dates d’intervention…), les exclusions (infrastructure, systèmes en production…) et les techniques autorisées (XSS, injections SQL…).

La fiche de mission associée à chacun de ces programmes publics ou privés détaillera les récompenses attribuées.

Bounty Factory prélève 25 % dans le cas de récompenses financières (montant minimum : 50 euros).

Les hackers pourront aussi choisir d’être rémunérés avec des points qui leur permettront sans doute d’accéder à des programmes plus rémunérateurs. Ou de faire valoir leur expérience sur le site de recherche d’emploi « spécial sécurité IT » YesWeHack Job. Lequel s’inscrit, comme la Bounty Factory, dans une structure plus globale nommée YesWeHack et qui dispose aussi d’un agrégateur de « bug bountys » (Fire Bounty).

Encore en bêta privée pour environ 3 semaines, la plate-forme sera prochainement présentée aux sociétés de la French Tech. Comme le note Silicon.fr, d’autres entreprises ont déjà manifesté leur intérêt. Et plus d’une centaines de hackers ont répondu présent.

Un effort particulier a été mené pour mettre en place une infrastructure dédiée au projet. Les deux fondateurs ne cachent pas leur intention de lever des fonds pour optimiser, entre autres, la sécurité.

Crédit photo : Andrea Danti – Shutterstock.com

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago