Un programme de chasse aux bogues aide les sites web, les services et les organisations à trouver des problèmes (bogues et vulnérabilités) dans leurs offres.
Mais comment cela se passe-t-il ? De quoi s’agit-il ? Pourquoi les organisations en ont-elles ?
Nous allons en discuter ici, en présentant une liste de plateformes de bug bounty créées par certaines des plus grandes entreprises technologiques du monde.
Qu’est-ce qu’un programme de bug bounty ?
Un programme de bug bounty récompense les chercheurs indépendants et les hackers éthiques lorsqu’ils trouvent un bug ou une faille de sécurité dans un service ou un site web.
Un programme de bug bounty est l’endroit idéal pour que les chercheurs en sécurité ou les hackers mettent leurs compétences à l’épreuve. Il donne l’impression d’une compétition publique et d’une course à l’argent avec vos compétences.
En fonction de vos activités, ce programme peut devenir un emploi à temps plein. Pour d’autres, il peut s’agir d’un travail d’appoint gratifiant.
En général, ces plateformes offrent des prix importants si vous signalez un problème grave dans leur service.
Il est également important de noter qu’il existe deux types de plateformes de bug bounty. Certaines entreprises préfèrent créer leur propre plateforme, tandis que d’autres utilisent des plateformes de bug bounty tierces existantes pour ajouter des objectifs/tâches pour la récompense mentionnée.
Cependant, certaines ont des exigences minimales pour qu’un rapport soit pris en compte. Par conséquent, tous les bogues que vous signalez ne vous permettront pas d’obtenir des récompenses.
Il serait utile d’examiner les règles ou les lignes directrices d’un programme de primes à la détection de bogues avant de décider d’y consacrer du temps.
Pourquoi les organisations ont-elles des plateformes de bug bounty ?
Vous savez maintenant qu’un programme de primes aux bugs permet à toute organisation d’impliquer des chercheurs en sécurité indépendants (ou des professionnels qu’elle n’emploie pas directement) pour trouver des bugs et des vulnérabilités dans son produit/site web.
Mais pourquoi les grandes entreprises ont-elles besoin d’un tel programme ?
N’ont-elles pas déjà des employés compétents qui améliorent constamment le service ?
Techniquement, oui. Mais l’objectif de la création d’une plateforme de bug bounty est de permettre à un plus grand nombre de chercheurs en sécurité d’auditer ou de tester leur service (gratuitement).
Exactement.
L’ensemble de la communauté des hackers et des chercheurs éthiques teste leurs services et leur donne un retour d’information par le biais de rapports.
Ils n’ont pas à payer d’avance pour leur travail.
L’entreprise ne verse une récompense (souvent lucrative) que lorsqu’un individu soumet un rapport de bogue ou de sécurité valide.
Dans l’ensemble, un programme de primes à la détection de bogues permet aux entreprises d’améliorer leurs produits et aux hackers et chercheurs éthiques d’en tirer profit.
Il s’agit donc d’un scénario gagnant-gagnant.
Les plus grands programmes de bug bounty
Il existe d’innombrables programmes de primes aux bugs dans le monde entier. Nous nous en tenons ici à quelques-uns des plus importants d’entre eux.
Notez que chaque programme a des règles différentes en matière d’éligibilité et de récompenses. Certains offrent des récompenses et une reconnaissance pour les problèmes liés aux logiciels, d’autres pour les problèmes liés au matériel. Veillez donc à vérifier les critères d’éligibilité, les règles relatives aux rapports de qualification et le type de vulnérabilités pouvant être récompensées.
Apple Security Bounty
Apple Security B ounty est l’une des plus grandes plateformes pour les hackers éthiques. Elle offre des récompenses allant jusqu’à 1 000 000 $ (un million de dollars) pour divers problèmes de sécurité sur iCloud et ses smartphones.
Au-delà de la récompense, le fait d’être impliqué dans un rapport réussi avec Apple devrait vous permettre d’obtenir une bonne reconnaissance publique pour votre travail.
La société verse également une partie des primes à quelques organisations caritatives, ce qui est une bonne chose.
Bug Bounty de Meta
Meta, anciennement Facebook, a également son programme de primes aux bugs, également connu sous le nom de Whitehat.
La récompense peut aller jusqu’à 45 000 dollars. En fonction de la gravité du bogue, le montant de la récompense peut être beaucoup plus élevé (ou beaucoup moins).
Meta publie le nom de tous les chercheurs en sécurité pour les remercier. Vous pouvez trouver des crédits pour les chercheurs depuis 2011 et avant.
En outre, Meta propose un programme de fidélité qui vous permet de multiplier vos récompenses (jusqu’à 20 %) et de gagner des voyages sponsorisés lors d’événements organisés par Meta pour les pirates informatiques.
Bug Hunters de Google
Leprogramme Bug Hunters bounty vous permet de signaler des problèmes sur plusieurs domaines/services de Google (YouTube, Blogger, etc.)
Les récompenses peuvent aller jusqu’à 30 000 $ et plus pour les rapports spéciaux.
Le programme propose également une plateforme d’apprentissage qui vous permet de vous inspirer d’exemples existants et d’apprendre au fur et à mesure.
Microsoft Bug Bounty
Leprogramme Bug Bounty de Microsoft offre de nombreuses possibilités de contribuer et d’être reconnu pour son travail.
Les récompenses peuvent aller jusqu’à 1 million de dollars ou plus en fonction de la gravité et du type de rapport.
Programme de sécurité de Mozilla
Leprogramme de sécurité de Mozilla est une plateforme intéressante pour les chercheurs. Bien qu’ils ne divulguent pas publiquement les prix attendus, vous obtenez votre nom dans une liste d’honneur.
Contrairement à d’autres, Twitter utilise une plateforme de bug bounty tierce pour permettre aux chercheurs de s’inscrire. La prime minimale commence à 280 dollars et peut aller jusqu’à 20 000 dollars.
Elle comprend également un tableau d’honneur sur la plateforme HackerOne pour remercier les chercheurs éligibles.
Uber
Leprogramme de primes aux bugs d’Uber s’appuie également sur HackerOne, où vous pouvez obtenir jusqu’à 15 000 dollars pour des rapports critiques et voir votre nom figurer dans le temple de la renommée.
Tesla
Leprogramme de bug bounty de Tesla se trouve sur Bugcrowd, une autre plateforme tierce de bug bounty.
Les récompenses peuvent aller jusqu’à 15 000 dollars par vulnérabilité, selon les critères d’éligibilité.
Bug Bounty d’Intel
Le programme de bug bounty d’Intel est répertorié sur la plateforme initigriti. Il s’agit d’une opportunité de récompense pour les chercheurs qui trouvent des problèmes de logiciels, de micrologiciels et de matériel Intel.
Les récompenses peuvent aller jusqu’à 100 000 dollars.
Centre de réponse de sécurité de Tencent
Le programme de primes aux bogues de Tencent couvre divers actifs tels que WeChat, QQ, le site web de Tencent, des domaines et plusieurs autres applications appartenant à Tencent.
Les récompenses ne sont peut-être pas les plus élevées, allant jusqu’à 3800 dollars pour les divulgations essentielles, mais vous obtenez un tableau d’honneur.
Programme de récompenses Samsung
Le programme de récompensesSamsung est le programme de recherche de bogues pour les produits mobiles de Samsung.
Si votre rapport est admissible, la récompense peut aller jusqu’à 2 000 000 $ et plus selon la gravité du problème. Vous pouvez signaler un problème sur le site officiel de Samsung, mais l’entreprise fait appel à Bugcrowd pour traiter les paiements et contacter les chercheurs.
Cisco Meraki
Le produit/offre de Cisco qui traite du WiFi, du routage et de la sécurité contrôlés par le nuage et destinés aux entreprises utilise Bugcrowd pour son programme de récompense des bogues. Comme il s’agit d’une offre spécialisée, le travail et les compétences nécessaires pour découvrir les problèmes peuvent être difficiles ou passionnants.
Les récompenses peuvent aller jusqu’à 10 000 dollars pour les problèmes graves.
Bug Bounty de Netflix
Leprogramme de bug bounty de Netflix peut également être trouvé sur Bugcrowd, où ils listent tous leurs domaines/services qui sont éligibles pour des tests/rapports.
Les récompenses peuvent aller jusqu’à 20 000 dollars par vulnérabilité.
PayPal
Leprogramme de primes aux bugs de Paypal utilise la plateforme HackerOne. Il faut également que l’authentification à deux facteurs soit activée pour pouvoir participer.
Les récompenses peuvent aller jusqu’à 20 000 dollars pour les rapports de vulnérabilités critiques.
Bug Bounty d’Intuit
Intuit, l’entreprise à l’origine de produits tels que QuickBooks, TurboTax, Mint, etc., offre la possibilité de soumettre un rapport à l’aide d’un formulaire sur son site web officiel ainsi que sur HackerOne.
Avec HackerOne, le programme de bug bounty est privé. Vous devrez donc vous connecter à votre compte pour vérifier et participer.
Shopify
Shopify est l’une des plateformes de commerce électronique les plus populaires. Le programme de bug bounty de Shopify sur HackerOne peut payer jusqu’à 50 000 dollars de récompense pour une vulnérabilité grave.
Alibaba
Leprogramme BugBounty d’Alibaba couvre la plupart des sites web/services qui lui appartiennent. Vous pouvez soumettre un rapport de vulnérabilité à partir de son site web officiel et vous attendre à des récompenses allant jusqu’à 2500 $.
Soundcloud
Soundcloud, l’une des plus grandes plateformes audio ouvertes, propose un programme de bug bounty basé sur Bugcrowd, avec des récompenses allant jusqu’à 4500 dollars en cas de rapports de vulnérabilité graves.
Vous obtiendrez l’habituel “hall of fame” de Bugcrowd.
Airbnb
Airbnb offre des récompenses allant jusqu’à 15 000 dollars par l’intermédiaire de la plateforme de bug bounty HackerOne. Elle organise également des promotions pour encourager les hackers à travailler sur de nouvelles vulnérabilités critiques, tout en offrant un bonus de 50 %.
Booking.com
Booking.com ne divulgue aucun détail particulier (à l’exception des domaines éligibles) sur HackerOne.
Vous pouvez contacter leur équipe de sécurité via le programme d’aide à la divulgation de HackerOne.
Xiaomi
Xiaomi utilise HackerOne pour son programme de bug bounty. Le programme couvre plusieurs services pour les chercheurs et inclut des récompenses spéciales et des bonus en plus d’un prix allant jusqu’à 8000 $ pour une vulnérabilité critique dans leurs produits commerciaux.
Square
Square est une application de point de vente disponible pour les smartphones. Pour tout rapport de vulnérabilité grave concernant son application/site web, elle offre une récompense pouvant aller jusqu’à 5 000 dollars dans le cadre de son programme de recherche de bogues (bug bounty ) sur Bugcrowd.
Nintendo
Le programme de chasse aux bogues de Nintendo vous permet de trouver des problèmes qui permettent aux joueurs de tricher, de pirater les jeux et d’autres problèmes techniques.
Les récompenses peuvent aller jusqu’à 12 000 dollars.
Coinbase
Coinbase est une plateforme d’échange de crypto-monnaies dominante. Elle propose un programme de recherche de bogues par l’intermédiaire de HackerOne, qui offre des récompenses pouvant aller jusqu’à 50 000 dollars.
Cloudflare
Cloudflare offre la plupart des services importants qui aident les sociétés Internet à protéger et à améliorer leurs offres sur le web. Son programme de primes aux bugs sur HackerOne décrit les différents problèmes qu’un chercheur peut rechercher, ainsi que des liens vers toute la documentation nécessaire.
Les récompenses peuvent aller jusqu’à 3000 $ pour les problèmes graves.
ExpressVPN
Leprogramme de bug bounty d’ExpressVPN est sans doute le plus important parmi les autres fournisseurs de services VPN.
En plus des récompenses habituelles allant jusqu’à 2500 $, il offre également un bonus unique allant jusqu’à 1 00 000 $ si vous êtes le premier à signaler une vulnérabilité d’exécution de code à distance ou quelque chose qui laisse filtrer les adresses IP des clients.
La chasse aux bogues, les récompenses et la reconnaissance
Si l’on considère qu’un programme de bug bounty offre aux hackers éthiques un terrain de jeu pour tester leurs compétences, il semble que ce soit une bonne idée pour tout chercheur indépendant et pour l’entreprise d’améliorer leurs offres.
Il est extrêmement important de respecter les règles/directives mentionnées dans le programme de primes à la détection de bogues. Si vous ne respectez pas les critères, vous perdrez du temps et votre rapport ne pourra pas être récompensé.
Vous pourriez également être intéressé par les terrains de formation pour hackers éthiques.