Seul un hacker peut penser comme un hacker. Par conséquent, lorsqu’il s’agit d’être “à l’épreuve des pirates informatiques”, vous devrez peut-être vous adresser à un pirate informatique.
La sécurité des applications a toujours été un sujet brûlant qui n’a fait que s’amplifier avec le temps.
Même avec une horde d’outils et de pratiques défensives à notre disposition(pare-feu, SSL, cryptographie asymétrique, etc.), aucune application basée sur le web ne peut prétendre être à l’abri des pirates informatiques.
Comment cela se fait-il ?
Pour la simple raison que la création de logiciels reste un processus très complexe et fragile. Il y a toujours des bogues (connus et inconnus) dans les bases utilisées par les développeurs, et de nouveaux bogues sont créés avec le lancement de nouveaux logiciels et de nouvelles bibliothèques. Même les entreprises technologiques de premier plan sont prêtes à faire face à un embarras occasionnel, et ce pour une bonne raison.
Elles recrutent maintenant des … . Des hackers !
Étant donné que les bogues et les vulnérabilités ne quitteront probablement jamais le domaine des logiciels, qu’en est-il des entreprises qui dépendent de ces logiciels pour survivre ? Comment, par exemple, une nouvelle application de portefeuille peut-elle être sûre qu’elle résistera aux méchantes tentatives des pirates informatiques ?
Oui, vous l’avez deviné : en engageant des pirates pour venir s’attaquer à cette nouvelle application ! Et pourquoi le feraient-ils ? Tout simplement parce qu’il y a une prime assez importante à la clé : la prime aux bugs ! 🙂
Si le mot “bounty” vous rappelle des souvenirs du Far West et des balles tirées sans relâche, c’est exactement ce dont il s’agit ici. Vous demandez aux hackers (experts en sécurité) les plus éminents et les plus compétents de sonder votre application, et s’ils trouvent quelque chose, ils sont récompensés.
Il y a deux façons de procéder : 1) en organisant vous-même un bug bounty ; 2) en utilisant une plateforme de bug bounty.
Bug Bounty : Auto-hébergement ou plateforme
Pourquoi vous donner la peine de sélectionner (et de payer) une plateforme de bug bounty alors que vous pouvez simplement l’héberger vous-même. Il vous suffit de créer une page avec les détails pertinents et de faire du bruit sur les médias sociaux. Cela ne peut pas échouer, n’est-ce pas ?
C’est une bonne idée, mais regardez-la du point de vue du hacker. La recherche de bugs n’est pas une tâche facile, car elle nécessite plusieurs années de formation, une connaissance pratiquement illimitée des choses anciennes et nouvelles, des tonnes de détermination et plus de créativité que la plupart des “concepteurs visuels” (désolé, je n’ai pas pu résister à cette phrase ! :-P).
Le hacker ne sait pas qui vous êtes ou n’est pas sûr que vous allez payer. Ou peut-être n’est-il pas motivé. Les primes auto-hébergées fonctionnent pour des géants comme Google, Apple, Facebook, etc. dont les noms peuvent être affichés avec fierté sur leur portfolio. “Trouver une vulnérabilité de connexion critique dans l’application HRMS développée par XYZ Tech Systems” n’a rien d’impressionnant, n’est-ce pas (avec toutes mes excuses à toute entreprise qui pourrait ressembler à ce nom) ?
Il y a aussi d’autres raisons pratiques (et écrasantes) de ne pas se lancer seul dans la chasse aux bogues.
Manque d’infrastructure
Les “hackers” dont nous avons parlé ne sont pas ceux qui arpentent le Dark Web.
Ceux-là n’ont ni le temps ni la patience pour notre monde “civilisé”. Il s’agit plutôt de chercheurs ayant une formation en informatique, qui travaillent dans une université ou qui sont chasseurs de primes depuis longtemps. Ces personnes veulent et soumettent des informations dans un format spécifique, auquel il est difficile de s’habituer.
Même vos meilleurs développeurs auront du mal à suivre, et le coût d’opportunité pourrait s’avérer trop élevé.
Résolution des soumissions
Enfin, il y a la question de la preuve. Le logiciel peut être construit sur des règles entièrement déterministes, mais le moment exact où une exigence particulière est satisfaite est sujet à débat. Prenons un exemple pour mieux comprendre.
Supposons que vous ayez créé un bug bounty pour les erreurs d’authentification et d’autorisation. En d’autres termes, vous prétendez que votre système est exempt des risques d’usurpation d’identité, que les pirates doivent contourner.
Or, le pirate a trouvé une faiblesse basée sur le fonctionnement d’un navigateur particulier, qui lui permet de voler le jeton de session d’un utilisateur et de se faire passer pour lui.
Cette découverte est-elle valable ?
Du point de vue du pirate, oui, une faille est une faille. De votre point de vue, peut-être pas, parce que vous pensez que cela relève de la responsabilité de l’utilisateur ou que le navigateur n’est tout simplement pas une préoccupation pour votre marché cible.
Si tout cela se passait sur une plateforme de bug bounty, il y aurait des arbitres compétents pour décider de l’impact de la découverte et clore le problème.
Ceci étant dit, examinons quelques-unes des plateformes de bug bounty les plus populaires.
YesWeHack
YesWeHack est une plateforme mondiale de bug bounty qui propose la divulgation de vulnérabilités et la sécurité participative dans de nombreux pays tels que la France, l’Allemagne, la Suisse et Singapour. Elle fournit une solution disruptive de Bug Bounty pour faire face aux menaces croissantes avec l’augmentation de l’agilité de l’entreprise où les outils traditionnels ne répondent plus aux attentes.
YesWeHack vous permet d’accéder au pool virtuel de hackers éthiques et de maximiser les capacités de test. Sélectionnez les chasseurs que vous souhaitez et soumettez les champs d’application à tester ou partagez-les avec la communauté YesWeHack. L’application suit des règles et des normes strictes pour protéger les intérêts des chasseurs et les vôtres.
Améliorez la sécurité de votre application en tirant parti de la réactivité des chasseurs et minimisez le temps de remédiation et de détection des vulnérabilités. Vous pourrez voir la différence une fois que vous aurez lancé le programme.
Ouvrez le Bug Bounty
Vous payez trop cher pour les programmes de bug bounty ?
Essayez Open Bug Bounty pour tester la sécurité par la foule.
Il s’agit d’une plateforme de bug bounty ouverte, gratuite et désintermédiée, gérée par la communauté. En outre, elle propose une divulgation responsable et coordonnée des vulnérabilités, compatible avec la norme ISO 29147. À ce jour, elle a permis de corriger plus de 641 000 vulnérabilités.
Des chercheurs en sécurité et des professionnels de sites de premier plan tels que WikiHow, Twitter, Verizon, IKEA, MIT, Berkeley University, Philips, Yamaha, etc. ont utilisé la plateforme Open Bug Bounty pour résoudre leurs problèmes de sécurité tels que les vulnérabilités XSS, les injections SQL, etc. Vous pouvez trouver des professionnels très compétents et réactifs pour effectuer votre travail rapidement.
Hackerone
Parmi les programmes de bug bounty, Hackerone est le leader lorsqu’il s’agit d’accéder aux hackers, de créer vos programmes de bounty, de faire passer le message et d’évaluer les contributions.
Vous pouvez utiliser Hackerone de deux manières : utiliser la plateforme pour collecter des rapports de vulnérabilité et les traiter vous-même ou laisser les experts de Hackerone faire le gros du travail (triage). Le triage consiste simplement à compiler les rapports de vulnérabilité, à les vérifier et à communiquer avec les pirates.
Hackerone est utilisé par de grands noms comme Google Play, PayPal, GitHub, Starbucks, etc., donc bien sûr, c’est pour ceux qui ont des bugs graves et des poches sérieuses 😉
Bugcrowd
Bugcrowd offre plusieurs solutions pour l’évaluation de la sécurité, l’une d’entre elles étant Bug Bounty. Il s’agit d’une solution SaaS qui s’intègre facilement dans le cycle de vie de votre logiciel existant et qui permet de mettre en place un programme de bug bounty efficace en un clin d’œil.
Vous pouvez choisir d’avoir un programme de bug bounty privé qui implique quelques hackers sélectionnés ou un programme public qui s’adresse à des milliers de personnes.
Un conseiller en sécurité dédié, des profils de pirates approfondis, une participation sur invitation uniquement – tout cela est fourni en fonction de vos besoins et de la maturité de votre modèle de sécurité.
Intigriti
Intigriti est une plateforme complète de bug bounty qui vous met en relation avec des hackers white hat, que vous souhaitiez mettre en place un programme privé ou public.
Pour les hackers, il y a beaucoup de primes à saisir. En fonction de la taille de l’entreprise et de son secteur d’activité, des chasses aux bugs allant de 1 000 à 20 000 euros sont disponibles.
Synack
Synack semble être l’une de ces exceptions du marché qui sortent des sentiers battus et finissent par faire quelque chose d’énorme. Son programme de sécurité Hack the Pentagon a été le point culminant, conduisant à la découverte de plusieurs vulnérabilités critiques.
Par conséquent, si vous cherchez non seulement à découvrir des bogues, mais aussi à obtenir des conseils et une formation en matière de sécurité au plus haut niveau, Synack est la solution qu’il vous faut.
Conclusion
Tout comme vous vous tenez à l’écart des guérisseurs qui proclament des “remèdes miracles”, veuillez vous tenir à l’écart de tout site web ou service qui affirme qu’il est possible d’avoir une sécurité à l’épreuve des balles. Tout ce que nous pouvons faire, c’est nous rapprocher un peu plus de l’idéal. Il ne faut donc pas s’attendre à ce que les programmes de chasse aux bogues produisent des applications “zéro bogue”, mais il faut les considérer comme une stratégie essentielle pour éliminer les bogues vraiment désagréables.
Consultez ce cours sur la chasse aux bogues pour apprendre et gagner en notoriété, en récompenses et en reconnaissance.
Découvrez les plus grands programmes de chasse aux bogues au monde.
J’espère que vous en écraserez beaucoup 🙂