unumkey,
votre partenaire en cybersécurité.

Un atout supplémentaire au service de nos clients !

La démocratisation du Bug Bounty participe à une meilleure sécurité des systèmes d’information des organisations. Ayant le privilège de compter dans notre équipe, un des « hunters » de la première heure, il nous est apparu intéressant de revenir sur ce phénomène avec notre consultant en cybersécurité Léo JORAND.

Bonjour Léo : « Fin janvier, tu as de nouveau fini premier à un Bug Bounty. Cet événement privé, organisé par la société YesWeHack, a réuni une trentaine de hunters (chercheurs en sécurité) européens triés sur le volet. Peux-tu nous donner une définition du Bug Bounty et depuis combien de temps le pratiques-tu ?

Bonjour, un programme de Bug Bounty est un événement permettant à des chercheurs en sécurité informatique, des développeurs ou toute autre personne ayant une appétence particulière pour la cybersécurité, de remonter des vulnérabilités (en règle générale sur un site Web ou une application mobile) dans un environnement cadré et de recevoir une récompense (« bounty ») en fonction de leurs criticités.

Lors d’un Bug Bounty, ces hunters sont en compétition sur un périmètre (« programme ») défini. Le classement est réalisé en comparant leurs rapports donnant lieu à des points. Un Bug Bounty, comme celui que j’ai gagné fin janvier dure de 24 à 48 heures. Cette durée est spécifique à ce type d’exercice.  Ces « concours » ne sont pas la norme. Le Bug Bounty est surtout utilisé sur des périodes plus longues pouvant aller jusqu’à des programmes permanents afin de s’assurer de la recherche des vulnérabilités de façon continue.

J’ai commencé cette pratique en 2014 lors de la Nuit du Hack 12 et j’avais à cette époque cherché des vulnérabilités sur le moteur de recherche « Qwant », ce qui m’avait permis de recevoir mon premier « Bounty » par chèque et sur une scène !

Quelles sont, selon toi, les qualités pour devenir un « chercheur en sécurité » ?

De manière générale, je pense que la curiosité, la motivation et le fait de pouvoir penser « Out of the Box » sont des atouts indéniables pour devenir un bon chercheur en sécurité.

Le Bug Bounty s’est énormément démocratisé ces dernières années, le nombre de hunters a suivi et la plupart des bugs simples (aussi critiques soient-ils), de « surface » sont généralement remontés très rapidement. Pour les vulnérabilités plus complexes, il est nécessaire de disposer en plus des qualités précitées, d’une expertise technique très large, d’une pugnacité et d’une endurance à toute d’épreuve.

De nombreuses personnes (plutôt jeunes) te sollicitent sur cette activité, quels conseils leur donnerais-tu pour commencer dans cette discipline ?

Tout d’abord, je préfère les avertir que ce n’est pas une manière « rapide et facile » de se faire beaucoup d’argent comme ils ont tendance à le penser, car il arrive souvent de rester plusieurs semaines sans trouver de bugs, ou  même si on en trouve un, ce peut être un « duplicate » c’est-à-dire un bug déjà remonté par un autre hunter et qui ne rapportera rien.

Après cette première mise en garde et s’ils sont toujours motivés, je leur conseille de lire/prendre des cours de développement en particulier Web et Scripting car il est important de savoir comment fonctionne ce que l’on va essayer de compromettre.

Ensuite, je leur propose de s’exercer sur des labos virtuels (des sites comme Root-me ou Hack the Box) qui sont remplis de ressources et d’informations utiles avant de se lancer sur un Bug Bounty en réel.

Dans le cadre de la réalisation des tests d’intrusion chez UnumKey, que t’apporte le Bug Bounty ?

Le Bug Bounty est un excellent moyen de faire de la veille technologique, et particulièrement en cybersécurité. En effet, il existe une large communauté de hunters qui se partagent régulièrement des astuces et des nouvelles méthodes ou outils qui me sont utiles au quotidien. Certaines plateformes de Bug Bounty publient également des rapports de vulnérabilités qui permettent d’élargir mes compétences.

Pour gagner un Bug Bounty, la différence se fait sur la rapidité à découvrir la surface d’attaque et à remonter les vulnérabilités. Bien évidemment, ces qualités bénéficient directement à nos clients lors de nos interventions , comme par exemple l’optimisation de la charge de travail pour découvrir des vulnérabilités.

Quelle est la place du Bug Bounty dans le cadre d'une politique cyber ?

D’un point de vue technique, le Bug Bounty est pertinent dans le cadre de services exposés, c’est-à-dire accessible depuis l’extérieur d’une organisation, que ce soit sur des applications Web ou mobiles, des applications « traditionnelles », des solutions à base d’IoT ou de composants matériels. En revanche, sur un périmètre interne, je n’ai jamais vu de Bug Bounty permettant de se mettre dans la peau d’un « stagiaire » comme nous le faisons lors d’un test d’intrusion interne.

Pour aller plus loin, il pourrait être intéressant de réfléchir à l’utilisation d’un Bug Bounty afin de viser une sécurisation continue dans le cadre d’une approche globale.

Article publié le 15/02/2021