La sécurité informatique est un enjeu majeur pour les entreprises. Certaines y sont plus sensibles que d’autres et organisent même des concours avec des hackers !
Les mentalités évoluent. Jusqu’à présent, les entreprises ne portaient pas en odeur de sainteté les hackers. En cause, un amalgame – trop souvent pratiqué par des médias et des hommes politiques – avec les pirates. Or, les premiers cherchent des failles pour mieux sécuriser des systèmes et des appareils, tandis que les seconds profitent de ces vulnérabilités pour en tirer profit (vol de données, paralysie d’un système informatique, etc.).
Mais à cause des attaques incessantes dont sont victimes les entreprises, certaines ont décidé de mettre de l’eau dans leur vin et d’accepter de faire appel à des hackers. Certes, cette tendance est encore très limitée en France. Mais ces concours se multiplient. Appelés « bug bounty », ils permettent de repérer des failles de sécurité. En échange de leurs trouvailles, les personnes reçoivent des entreprises des boissons, des t-shirts ou une prime, voire une offre d’emploi.
Ce fut le cas en juin. Réunis dans un hôtel de Disneyland Paris à l’occasion de la quatorzième édition de la Nuit du hack, plusieurs dizaines de hackers, étudiants ou informaticiens ont poursuivi un seul objectif : infiltrer les réseaux informatiques du moteur de recherche Qwant, de l’hébergeur OVH, du service 118712 et de l’application mobile de l’opérateur Orange.
« C’est la première fois qu’une entreprise du CAC40 s’y met », a déclaré au quotidien Le Monde Guillaume Vassault-Houlière, organisateur de la manifestation. Peu répandu en France, le « bug bounty » est un énorme marché outre-Atlantique. Apparu il y a plus de vingt ans chez Netscape – l’éditeur d’un des premiers navigateurs web – ce type de concours est adopté par les poids lourds de l’IT mais aussi d’autres entreprises (General Motors, Tesla, Western Union, United Airlines…) et même le Pentagone.
Pour Eric Filiol, Directeur du Laboratoire de virologie et de cryptologie opérationnelles (ESIEA Ouest) et instigateur de ce type de concours lors de la Nuit du Hack en 2014 auprès de Qwant, « ces opérations sont une bonne chose et c’est sain. Mais pour l’instant, les sommes données sont peu conséquentes. Les entreprises françaises ne devront pas hésiter à rémunérer plus cher lorsque des failles critiques auront été détectées. Aux États-Unis, ils savent y mettre le prix ».
L’an dernier, Google a par exemple versé plus de deux millions de dollars à quelque 300 chasseurs de primes dans le cadre de son Vulnerability reward program. Par contre, d’autres ont été radines et se sont contentées d’offrir un mug (Facebook) ou un t-shirt (Yahoo!) pour toute rémunération de failles repérées sur leur site respectif ! Une attitude qui leur a valu de très nombreuses critiques.
Des plates-formes se sont même spécialisées dans ce domaine outre-Atlantique. Créée en 2012 par un ancien responsable de la sécurité de Facebook, HackerOne domine ce secteur et a même levé 34 millions de dollars. Elle compte aujourd’hui 500 clients et a redistribué plus de sept millions de dollars de primes. En France, la plate-forme « Bounty factory » a été lancée début juin avec sept programmes, dont quatre « privés », c’est-à-dire accessibles seulement à certains hackers sélectionnés par l’entreprise. Environ 10.000 euros ont été reversés aux personnes qui ont découvert des vulnérabilités.
Certaines entreprises ont mis en place leur propre concours. C’est le cas d’OVH. Testé en interne, ce programme est désormais accessible sur la plate-forme bountyfactory.io. « Toute faille de sécurité signalée est étudiée, puis corrigée si besoin, par les équipes chargées de la sécurité. Chaque signalement lié à une faille avérée donnera lieu à une récompense – financière dans la plupart des cas, pouvant s’élever jusqu’à 10 000 euros – et parfois sous la forme de goodies ou de vouchers pour des failles en dehors du périmètre », explique l’hébergeur. « Avec ce Bug Bounty, nous pouvons tester en permanence l’ensemble de nos infrastructures avec des profils différents et des compétences variées. Nous ne pourrions jamais couvrir un tel spectre sur une période aussi longue avec des audits classiques, » déclare Vincent Malguy d’OVH.
Par Philippe Richard
Réagissez à cet article
Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.
Inscrivez-vous !
Vous n'avez pas encore de compte ?
CRÉER UN COMPTE