Entreprises, comment éviter les remontées sauvages de failles de sécurité ?

Publié initialement à : https://korben.info/bug-bounty-sauvage-entreprise-vulnerabilite.html

Bon, vous le savez, depuis 2013 on organise des Bugs Bounties avec les copains de YesWeHack. Et en 2015, on a décidé de créer www.yeswehack.com, une plateforme qui permet facilement à chaque société qui le souhaite, de créer son programme de bug bounty. L’idée c’est de faire tester un site, une application, un projet open…

C’est un bon moyen d’améliorer la sécurité informatique de sa boite, dans un cadre de développement agile, en ne payant qu’au bug effectif remonté.

De la sécu. au prix des pâquerettes ?

C’est comme au Loto quoi …
100% des gagnants ont tenté leur chances !

Bon je critique, mais je ne sais pas de quoi je parle hein ^^

Hello

je connais pas le prix des pâquerettes mais on n’est pas ici dans un cadre d’Uberisation ou je ne sais quoi qui propose de la presta à ceux qui sont les moins chers.

Non, non, ceux qui trouvent des failles (réelles je veux dire et pas seulement dans leur imagination) toucheront une récompense déterminé en amont. Et les récompenses augmentent de plus en plus. L’un de nos clients propose des récompenses entre 5000 et 10 000 euros pour les failles les plus critiques qui lui sont remontés. On n’est pas dans un système où les prix sont tirés vers le bas, bien au contraire.

Je suis triste de voir le blog de Korben se transformer petit à petit en publicité géante pour le Bug Bounty.
Ok c’est bien, mais bon, je ne compte plus le nombre d’articles en vantant les mérites chaque mois. Au bout d’un moment c’est lourd.
Et je pense que ce genre d’articles est hors de l’esprit du blog dans ses débuts et devrait être publiées dans un blog/site spécialisé.

2 J'aimes

Salut Korben (et merci pour la réponse)
Ca fait toujours plaisir quelque part de se savoir lu (je parle pour moi et pour les autres) par le chef …

je connais pas le prix des pâquerettes mais on n’est pas ici dans un cadre d’Uberisation ou je ne sais quoi qui propose de la presta à ceux qui sont les moins chers.

Non, non, ceux qui trouvent des failles (réelles je veux dire et pas seulement dans leur imagination) toucheront une récompense déterminé en amont. Et les récompenses augmentent de plus en plus. L’un de nos clients propose des récompenses entre 5000 et 10 000 euros pour les failles les plus critiques qui lui sont remontés. On n’est pas dans un système où les prix sont tirés vers le bas, bien au contraire.

Ce que je voulais dire c’est que la phrase sonne quand même un peu comme de l’Ubérisation si l’on compare une entreprise qui paierai un mec en interne ou en externe (consultant) pour auditer un système en continue voir ponctuellement.

Ce que je veux dire par là, c’est que la phase de recherche elle (avec ce système) est payé tout simplement peanuts …

Seul seront payé (si j’ai bien compris) ceux qui auront eu la chance (ou pas <= je parle ici de compétence) d’avoir trouver les-dites failles !

J’imagine juste quelqu’un passer 3 jours et ne rien trouvé, soit parce qu’il n’y a pas de failles, soit parce qu’il est bon mais qu’il ne l’a quand même pas trouver, soit par manque de chance ou soit même parce qu’il n’a pas été assez bon ce jour là pour la trouver …

Toutes cette somme d’heures là (de recherche) qui représentent pourtant un travail réel ne semble pas payé. Et imagine si on le multiplie par le nombre de personnes qui se retrouverons forcément au quotidiens dans 1 de ces cas là !

Moi cela me semble donc de l’Ubérisation !
Car on est plus sur un modèle de Hunting ou de Chasseur de Prime …

Avec (il faut le dire) l’avantage, de surement stimuler les Hunter à vraiment trouver quelque chose (s’il y’a) pour toucher la prime ! (car sinon c’est patate ce soir)

On est donc plus dans un modèle Capitaliste/Uberiste que Social me semble t’il !

Après je n’ai peut-être rien compris …
Je donne juste mon opinion ! (but des comments)

Voila

1 J'aime

Si on considère que le bug bounty est un “travail”, effectivement, je te rejoins.
Mais le bug bounty c’est plutôt réservé aux gens qui justement tombent sur des failles (par hasard le plus souvent ou en grattant un peu) et qui peuvent alors toucher une récompense.

Il ne faut pas voir ça comme un travail ou une mission.

Ca ne vient pas remplacer un audit de sécu ou un pentest. Ca vient en complément de tout ça et ça permet d’ouvrir un canal de remonté de vuln qui soit intéressant pour tout le monde.

Hello

Je respecte ton point de vue mais je ne suis pas d’accord. Au contraire, je pense que ça a toute sa place ici parmi l’ensemble des sujets que je traite depuis 2004. Puis ça reste un blog ;-))

1 J'aime

Oui oui, c’était juste mon point de vue. Je respecte aussi le tien et Korben reste malgré tout un bon blog :slight_smile:

Si on considère que le bug bounty est un “travail”, effectivement, je te rejoins.
Mais le bug bounty c’est plutôt réservé aux gens qui justement tombent sur des failles (par hasard le plus souvent ou en grattant un peu) et qui peuvent alors toucher une récompense.

Il ne faut pas voir ça comme un travail ou une mission.

Ah ok!, vu cette phrase de l’article >>

Le bug bounty classique, c’est-à-dire légal, officiel, approuvé par la société qui l’initie, c’est la mise en place d’un périmètre de test, soumis à des experts en sécurité en mode privé ou public, avec à la clé, un versement d’une récompense aux experts ayant trouvé et remonté une vulnérabilité. Ça, c’est cool.

Je pensais que c’était quasi un job !

Ca veut dire que même moi qui ne suis pas “expert secu.” si je trouve une faille de sécu. “par hasard” je peux toucher la prime ?

Quand est-il dans ce cas là du périmètre ?

Et de manière plus général n’y a t’il pas risque à ce que l’entreprise réponde qu’un autre utilisateur ai trouvé la faille avant vous (cas du mensonge) pour ne pas payer la prime ?

Néanmoins merci pour ta précédente réponse …

Oui tu peux . Mais il faut qu’elle rentre dans le périmètre effectivement. Tu peux trouver des exemples de périmètres sur Bountyfactory.io ou firebounty.com. Ca donne juste un cadre. Et si la faille est hors cadre, soit tu la gardes au chaud le temps que le cadre s’élargisse, soit tu la communique via le bug bounty mais tu ne touchera probablement rien et tu peux perdre aussi des points dans le classement, soit tu la remontes via un service de coordinated disclosure comme zerodisclo.com

Une entreprise peut aussi “mentir” mais dans ce cas là, elle prends des risques. Risque de se faire découvrir, affichée en public (on est une communauté, ne l’oublions pas), de voir son programme de bugbounty prendre fin…etc. Mais les entreprises qui se lancent dans le bug bounty ne sont pas bêtes et comprennent les enjeux de corriger les failles rapidement et de correctement récompenser les hunters.

Ok, merci pour toutes ces précisons …

Citation
Si on considère que le bug bounty est un “travail”, effectivement, je te rejoins.
Mais le bug bounty c’est plutôt réservé aux gens qui justement tombent sur des failles (par hasard le plus souvent ou en grattant un peu) et qui peuvent alors toucher une récompense.
Il ne faut pas voir ça comme un travail ou une mission.

Salut Korben,
j’avais cru comprendre (je sais plus où j’ai lu ça) qu’il y avait quand même pas mal de hunters qui vivaient du bug bounty et qui se précipitaient à chaque fois qu’un nouveau était annoncé pour gagner de l’argent… je me trompe ?