Bounty Factory : la recherche de bugs made in Europe est née

Pendant que les programmes de recherches de vulnérabilités prospèrent aux Etats-Unis, l’Europe vient de se doter d’une première plateforme de ce type avec Bounty Factory. Une initiative française.

On pensait naïvement que la chose existait déjà au moins en Angleterre ou en Allemagne. Et bien non, l’Europe ne disposait pas de Bug Bounty, une plateforme permettant à des spécialistes de la sécurité informatique de découvrir des vulnérabilités à la demande d’entreprises. Ces dernières récompensent les hackers de leurs efforts. Une idée qui remonte à 1995 où la société Netscape lançait le premier programme pour éprouver la sécurité de son navigateur. L’idée par la suite a fait florès aux États-Unis où on recense aujourd’hui plusieurs plateformes comme HackerOne ou BugCrowd avec de plus en plus d’entreprises de la vieille économie qui s’y intéressent, United Airlines ou General Motors.

Oui mais voilà en Europe, rien de tout cela. Guillaume Vassault-Houlière, RSSI chez Qwant explique que « c’est plus difficile de mettre en place ce type de programme en Europe qu’aux États-Unis ». Il y a d’abord des changements de mentalité des relations entre les hackers et les sociétés. Des doutes levés par la création de la Nuit du Hack, assure le RSSI et organisateur de cet évènement. Viennent ensuite se greffer des questions plus politiques. Les entreprises américaines qui réalisent des audits de sécurité pour des sociétés européennes sont soumises au Patriot Act. De même, l’accord de Wassenaar a renforcé le contrôle des exportations de failles critiques. Depuis 18 mois, Guillaume Vassault-Houlière et le blogeur Korben ont donc entamé des discussions avec « des cellules étatiques » pour s’assurer de la faisabilité de leur projet.

Crowdsec et récompenses au programme

Il vient donc de voir le jour sous le nom BountyFactory.io. Il s’agit selon ses fondateurs de « la première plateforme européenne pour les programmes de recherches de vulnérabilités ». Elle vise à fédérer les compétences de spécialistes en sécurité, dans une logique de « crowdsec » (communauté de hackers) et surtout dans un cadre légal (sans risque de poursuites). Concrètement, les entreprises vont publier un programme dans lequel elles déterminent le périmètre de jeu (des pages web, des applications mobiles, les dates d’intervention), les exclusions (pas les infrastructures, pas la production), la liste des exploits autorisés ou non (XSS, injection SQL, etc). A noter que les programmes peuvent être soit publics, soit privés. La fiche de mission détaille aussi les récompenses attribuées. Au passage, Bounty Factory qui sert d’intermédiaire se rémunère à hauteur de 25% sur la transaction.

Ces récompenses peuvent être financières « en euros pour l’instant, avec un minimum de 50 euros », mais aussi avec un système de points. « Gagner des points permet à un hacker d’être reconnu et pourquoi pas d’être classé dans le top 10 du Hall of Fame », précise Guillaume Vassault-Houlière. Car Bounty Factory est une des branches d’une structure plus globale, YesWeHack. Elle se décline en un site dédié à la recherche d’emploi dans la sécurité (YesWeHack Job) et dans un agrégateur de Bug Bounty (Fire Bounty). On comprend que gagner des points peut être bénéfique pour améliorer son profil quand on cherche du travail et notamment à travers YesWeHack, mais c’est également important pour ouvrir les portes des programmes privés réservés aux meilleurs et probablement plus lucratifs.

Un modèle gagnant-gagnant

Un pari gagnant-gagnant aussi bien pour les hackers que pour les entreprises. Ces dernières peuvent être de toutes les tailles, de la multinationale en passant par les TPE, PME ou les start-ups. Eric Leandri, DG de Qwant (moteur de recherche français), loue l’initiative et à laquelle il va participer. « C’est une chance de proposer un programme et de le soumettre à une centaine de hackers. »

La plateforme Bounty Factory va être présentée prochainement aux sociétés de la French Tech. D’autres sociétés sont déjà intéressées comme nous l’a précisé Cédric Messenguer, directeur général de Digital Security, structure travaillant sur la sécurisation des objets connectés. « Ce type de programme est une très bonne idée, car il permet à nos experts en sécurité de démontrer leur talent, d’être primés, sans craindre le risque de débauchage », prévient-t-il.

Aujourd’hui, la plateforme est encore en version beta privée pendant environ 3 semaines, assure Guillaume Vassault-Houlière et Korben. Plus d’une centaine de hackers ont déjà répondu présents. Un effort particulier a été mené pour mettre à disposition une infrastructure sécurisée et dédiée à ce projet. Les deux fondateurs ne cachent pas leurs intentions de lever des fonds pour optimiser cette sécurisation de l’infrastructure.

Lire aussi : HackerOne s’offre le réviseur de code source PullRequest