YesWeHack - Je vous dis tout sur le Projet X que j'ai annoncé la semaine dernière

Publié initialement à : https://korben.info/bounty-factory.html

Bonne nouvelle !!! Il est temps pour moi de vous dévoiler le fameux Projet X sur lequel j’ai teasé un peu la semaine dernière. Si vous travaillez dans la sécurité informatique ou que votre société fait appel à des experts en sécurité, vous connaissez sans doute Yes We Hack Jobs, la partie site d’emplois spécialisés dans les métiers…

Bravo et longue vie à Bounty Factory ! :smile:

Mais pourquoi avoir choisi un .io (eaux territoriales anglaises de l’océan indien)
?

Hehe: http://www.zataz.com/bounty-factory-la-premiere-plateforme-europeenne-dediee-au-bug-bounty/

bien joué Korben


BOF

:wink:

Super projet !

IO = Input Output
Ça colle plutôt bien pour une boite de sécurité informatique.

1 J'aime

Etant participant des plateformes américaines Hackerone et Bugcrowd je ne peux qu’adhérer a ce projet :D.

Reste maintenant à savoir si les entreprises française et européenne vont se lancer dans l’aventure plutôt que de se cacher et de prier pour que personne n’exploite des failles sur leurs appli web :smile:

;’( il faut patientez encore 3 semaine pour que sa soit ouvert au publique et soumettre les premiers bugs ;’(

et bien chapeau en tout cas le site est joliee…(c’est tout de même chouette font-awesome)

et bon courage au chasseur de prime, ça dois pas être simple

Chercher des bugs c’est très bien, mais le problème de la sécurité vient de la concurrence entre les pays d’Europe et le reste du monde (exceptée l’Angleterre). Combien de boîtes Européennes refusent de payer des développeurs à des prix raisonnables et finissent soit par recruter des dev moins qualifiés, des dev d’Inde, Pakistan, Chine, Vietnam, etc. ou encore une boîte française qui sous-traite vers ces pays sans le dire à leurs clients. La majorité des vols de n· de CB, de BDD, etc. se font de cette manière sans aucune intrusion illégale. Lorsque toutes les portes sont ouvertes il ne sert à rien d’auditer les serrures. Je sais qu’il s’agit d’un sujet encore tabou dans le monde du dev mais il faut aussi en parler. Se boucher le nez lorsqu’on entend parler de protectionnisme économique pour ensuite faire de la sécurité un business, je trouve ça difficile à accepter.

Je tiens à ajouter mon coup de gueule contre ce mode de “travail”. Pourquoi ? Parce que tout simplement tout travail mérite salaire, qu’il y aie résultat ou pas.

Exemple 1: Je vais au médecin, il me consulte, je paie les médicaments, la consultation, mais le résultat n’est pas forcement garanti.

Exemple 2: Je vais au garage, il recherche une panne, il ne trouve pas, je paie la recherche de panne et j’ai aucun résultat.

Etc. etc.

Lorsqu’une personne cherche dans n’importe quel métier, il est payé pour cela et devrait être le même cas en tant qu’Informaticien/Geek/Hacheur. Donc pourquoi payer comme pour tous les autres sites que lorsque que quelque chose a été trouvé ?

Que la personne trouve ou pas quelque chose au final importe moins, c’est pas son but premier, surtout qu’il à peut-être passer beaucoup de temps à valider que c’était ok, Est-ce qu’il devrait faire dont de son temps ? Certainement pas.

The Business of Security :smile:

Quand tu passes du pire gars du monde, à celui qui doit prouver pour être payé.

Je suis d’accord avec toi, tout travail mérite salaire. Mais comment faire quand tu ouvre le programme de manière publique pour rémunérer tous les chercheurs qui passeront plus ou moins de temps à travailler ?
Comment tu peux être sur que le mec a passé du temps à travailler sur ce point. Tu te bases sur une relation de confiance ?

Dans le cas ou les chercheurs sont triés pour une mission cela me semble plus réalisable de payer même si aucune faille n’a été trouvée. En effet on peut imaginer une liste de tâche à valider avec des retours techniques quant aux différentes tentatives de hack réalisées.

Je pense qu’il est nécessaire en premier temps de récolter des experts, personnes dont l’expérience est prouvée aux travers de certificats ou de tests internes. Simplement dans le sens ou les personnes qui ont déjà un bagage professionnel, n’ont pas forcement toujours envie de prouver leurs compétences une énième fois sur un autre site. Après le contrat est basé sur l’heure en fonction de la capacité de l’expert. Exemple : une personne avec peu d’expérience *1.5, une personne très compétente, *4.

Sinon il faut également supprimer toutes conditions imposée, comme par exemple “pas de script”/“scanner”, sérieux ? en 2016 ? si le gars doit tout faire à la main, c’est un peu comme dire au gars, ouai mais bon tu peux ouvrir la porte mais seulement avec un bout de pain et du fromage, tes outils de lockpick automatique cela ne prouve pas tes compétences et tu ne seras pas payés…

Ah voir par la suite, si le hacheur de bois n’est pas pris pour un farmeur chinois d’une hypothétique faille qui lui servira à s’acheter une pizza à la fin du mois cela risque d’être cool.

1+ pour les experts au départ.
Le contrat basé sur l’heure règle un autre problème, par exemple dans le cas ou une faille triviale est détecté par 100 chercheurs comment se passe les paiements ?

  • Le premier chercheur qui a detecté la faille est payé ?
  • Tout les chercheurs ayant trouvé la faille avant que celle ci soit marqué comme corrigé/detecté sont payés ?

Bon ok ça n’arrivera peut être jamais dans ces proportions mais il faut bien poser la question.

Libre au chercheur d’utiliser ses techniques. De plus c’est de l’intérêt de la société audité que ce dernier soit efficace et trouve des failles. Et en partant de ce principe ça me choquerait pas que les développeurs partagent des connaissances avec les experts sur l’architecture du code etc… afin de faciliter le travail des chercheurs.

Mais au départ une chose est sur, il est beaucoup plus facile pour un site de payer à la commission lorsqu’un objectif a été atteint que de payer à l’heure… On verra peut être un changement de rémunérations des chercheurs lorsque cette appli aura un vécu.

Alors, tout d’abords l’interdiction de scanner est tout à fait normal, la plupart des environnement de test sont des environnement de production.Pour en avoir eu l’expérience sur des bug bounty privé quand on est a 50 personne a faire de la recherche en même temps, s’il y en a qui commence a utilisé des scanner le site il tombe en 5 minutes.

Et honnêtement, si c’est pour avoir des rapports pré-fait de scanner les mecs ne lancerais pas des bugbounty avec récompenses, il lancerais juste un coup de scan sur leur sites web.

En se qui concerne le payement, si tu veux être payé à l’heure d’audit tu va bosser pour une boite de pentesting …

@Guillaume_c 100 rapport “duplicate” c’est beaucoup mais voici un exemple ou il y a 20 rapport “duplicate” officiel d’une faille trivial, https://hackerone.com/reports/77067 . même 20 c’est beaucoup