Enderi

Accueil
Envoyer à un ami
Version imprimable

Le Bug Bounty, ou payer pour se faire pirater




Publié par Fayed Hanafi le 6 Mai 2020

Payer pour se faire pirater ? Cela a commencé avec le Bug Bounty – la chasse aux bugs – né dans les années 1990 avec l’avènement d’Internet. Ce sont les plus grandes entreprises qui ont ouvert le pas, en rémunérant tout hacker qui découvrirait une faille sur leur site internet. C’est là qu’un marché gagnant-gagnant a vu le jour puisque les entreprises pouvaient sécuriser leurs plateformes sans y consacrer énormément de temps tandis que des pirates pouvaient utiliser leurs compétences à bon escient et être rémunérés.



Les premiers exemples sont ceux de Netscape et de Mozilla, qui, dans les années 2000, offraient de l’argent contre la découverte de tout problème de sécurité dans leur navigateur (500$ par faille en moyenne). Ce genre de marché, autrefois limité aux très grandes entreprises, s’est généralisé à tous les types d’entreprise dès lors que les différents cabinets d’intelligence économique se sont adaptés à la digitalisation du monde.

Pour enquêter sur une entreprise, il ne s’agissait donc plus seulement de fouiller les poubelles ou de prendre en filature des dirigeants, les agences les moins scrupuleuses s’étant empressées de chercher des failles dans les réseaux de certaines entreprises pour satisfaire leurs clients. La réponse fut immédiate, il s’agissait de combattre le feu par le feu. De cette manière, de nombreux cabinets furent consultés (que ce soit en réponse ou en prévention à des attaques) afin de lutter ou de prévenir ces intrusions.

Là est née une sorte de Bug Bounty 2.0, un nouvel élan à cette pratique. De nombreux cabinets d’intelligence économique se sont spécialisés dans ce domaine et proposent à des entreprises de sécuriser leurs réseaux. La démarche est simple, contrairement aux « pitchs » standards qui permettent de vendre leurs services, ces entreprises arrivent avec des preuves concrètes d’intrusions, de failles, et sont payées pour ce service. C’est le cas de Wancore ou encore de Guardea, qui prouvent à leurs clients leur vulnérabilité avant de leur proposer une solution.
 
Pourquoi cette pratique séduit tant ?

Si le Bug Bounty séduit clients et cabinets, c’est en raison de son faible coût en comparaison avec les risques qu’une entreprise encourt si elle ne sécurise pas son réseau. Les exemples sont multiples mais nous allons nous concentrer sur celui d’Equifax.

Cette société qui évalue la solvabilité d’une personne ou d’une entreprise souhaitant un crédit s’est retrouvée au cœur d’une des plus grandes affaires de piratage. En 2017, Equifax s’est fait voler des données très sensibles sur près de la moitié de la population américaine (numéros de cartes bancaires, de sécurité sociale, adresses …). L’entreprise a alors dû payer 700 millions de dollars aux différents régulateurs et aux états américains. La raison de cette attaque ? Un système informatique très vulnérable. Equifax n’a pourtant rien fait avant cette attaque pour palier ses manquements, ce qui amena la procureure générale de l’État de New York, Laeticia James, à déclarer : « L’inaptitude, la négligence et les normes de sécurité laxistes de cette société ont mis en péril l’identité de la moitié de la population américaine ».

Cette innovation crée un nouveau secteur extrêmement porteur. Avec environ 40% de la population mondiale et plus de 300 milliards de dollars par an qui sont perdus à cause de piratages informatiques, les enjeux sont majeurs.

Les entreprises souffrent aussi bien évidemment de ces attaques. C’est la raison pour laquelle elles n’hésitent pas à payer des millions à des cabinets pour se faire hacker. Google a ainsi dépensé 2,9 millions de dollars en Bug Bounty pour la seule année 2017. Si ces entreprises dépensent des millions, c’est assurément pour se protéger des coûts directs et indirects du piratages (cf Equifax en 2017), mais c’est également parce que cela devient de plus en plus un argument marketing. Au point d’être, de temps en temps, davantage une question de crédibilité que de sécurité.

Ces entreprises disposent de plusieurs options : des cabinets d’audit spécialisés dans la cybersécurité, des hackers indépendants ou des plateformes de hackers. En effet, on observe que l’industrie de la cybersécurité s’ubérise elle aussi. De HackerOne à Yes We Hack, les plateformes de hackers se multiplient. HackerOne, par exemple, est le leader mondial du marché et compterait près de 550 000 pirates informatiques selon Ben Sadeghipour, responsable des opérations de piratage informatique au sein de la société. Cela constitue un bouleversement majeur pour les entreprises : auparavant elles avaient deux ou trois ingénieurs internes qui cherchaient leurs failles, dorénavant ce sont parfois des milliers de hackers qui cherchent les failles de l’entreprise en même temps.
 
Néanmoins, de nombreux hackers restent encore indépendants. Ils ne sont pas tous, loin de là, embauchés par des entreprises spécialisées dans le piratage. Si la plupart piratent des systèmes informatiques afin d’être financés en retour, ce n’est pas le cas de tous. Prenons l’exemple de l’hacker qui se fait appeler Kuromatae, qui s’est intéressé à la sécurité informatique de Numericable en 2017. Il a été capable de récupérer les mails de tous les clients de Numericable. Quelques années auparavant, la société aurait sans doute poursuivi le hacker en justice ; au contraire, Numericable a considéré ce piratage comme une véritable aubaine. Interrogé sur les raisons de son acte, Kuromatae a déclaré qu’en confiant ses données à une entreprise, il avait le droit de s’assurer qu’elles étaient bien en sécurité. D’autres hackers testent la cybersécurité des entreprises par égo et fierté, ce qu’estime Guillaume Vassault-Houlière, PDG de Yes We Hack, la première plateforme européenne de Bug Bounty. En effet, sur cette plateforme, où le nombre de hackers ne cesse d’augmenter, les hackers sont classés en fonction du nombre de failles qu’ils ont révélées depuis leur inscription. Selon le directeur général, cela permet aux pirates informatiques de se comparer entre eux et donc d’être reconnus par leurs pairs. Cependant, certains mettent en garde contre la fine frontière entre ce qui éthique et légal et ce qui ne l’est pas. Un ingénieur informatique répondant au pseudonyme de SwitHak considère que ce qui fait la différence entre le lanceur d’alerte et le criminel est la méthode : le hacker ne doit pas poser d’ultimatum de temps ou d’argent. Afin de distinguer au mieux ces différents types de pirates informatiques, trois catégories existent : les white hats, qui piratent pour des sociétés d’audit spécialisées dans la cybersécurité et participent à des Bug Bounty, les grey hats, qui ne travaillent pour aucune entreprise, entrent illégalement dans le système de sécurité des entreprises et les préviennent ensuite des failles et les black hats, ceux qui font cela illégalement et avec un objectif malveillant.

Enfin, ce secteur de la cybersécurité qui se développe reste faillible. Force est de constater que cette industrie demeure extrêmement inégalitaire. Ceux qui sont richement rémunérés ne le sont que rarement grâce à un salaire fixe mais bien souvent grâce à des primes mirobolantes. Ensuite, si certains gagnent beaucoup grâce aux primes, la grande majorité ne gagne que très peu. Cependant, l’enjeu primordial reste celui du déséquilibre entre les sexes dans cette industrie : les femmes ne représente que 4% des pirates informatiques… Au-delà des problèmes du secteur, le fait même de payer pour se faire hacker est lui aussi symptomatique. En effet, permettre à des centaines voire des milliers de hackers du monde entier de pénétrer un système informatique dans le cadre de Bug Bounty peut poser de gros problèmes pour une entreprise : c’est laisser s’infiltrer un beau cheval de Troie dans son système : le serpent qui se mord la queue…  
 
Sources :
https://www.benefsnet.com/info/bug-bounty
https://www.lefigaro.fr/secteur/high-tech/piratage-de-donnees-equifax-paye-700-millions-de-dollars-pour-eteindre-les-enquetes-20190722
https://www.futura-sciences.com/metiers/securite-hacker-ethique-152/
https://start.lesechos.fr/travailler-mieux/metiers-reconversion/je-suis-devenu-un-hacker-au-service-des-entreprises-4189.php
http://celsalab.fr/2018/05/28/hackers-et-entreprises-les-nouveaux-meilleurs-amis-du-monde/
https://www.bbc.com/afrique/monde-50601098
https://www.seo.fr/definition/black-hat-seo
https://.economiematin.fr%2Fnews-cout-piratage-informatique-pays-developpes-internet&usg=AOvVaw2sYotNYaf7EjfNxQbOcnmJ 
 




Nouveau commentaire :

ENDERI promeut la liberté d'expression, dans le respect des personnes et des opinions. La rédaction d'ENDERI se réserve le droit de supprimer, sans préavis, tout commentaire à caractère insultant, diffamatoire, péremptoire, ou commercial.