REVUE
revue256bd
revue256bd
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
dossier<br />
« BuG BounTy ProGrAm » : L'AVènEmEnT DES PLATES-FormES EuroPéEnnES<br />
élément fondamental : la confiance.<br />
En avril 2016, le programme "Hack the<br />
PEnTAGon" est lancé, impulsé par le<br />
département de la défense numérique<br />
Américain en collaboration avec la plateforme<br />
HACKEronE. Plus de 1000<br />
chasseurs de bugs se sont attardés sur<br />
les infrastructures gouvernementales,<br />
découvrant de nombreuses vulnérabilités.<br />
En complément des applications<br />
standards de sécurité des systèmes et<br />
des audits, les "Bug Bounty Programs"<br />
sont une réponse originale et<br />
pragmatique à la montée en complexité<br />
des attaques et à la créativité des<br />
cybercriminels. Apprécié des hackers, le<br />
« Bug Bounty Programs » est un système<br />
méritocratique et pérenne. Les « Bug<br />
Bounty Programs» offrent une<br />
récompense à tous ceux qui trouvent des<br />
failles de sécurité dans un périmètre<br />
donné de leur système informatique. Ils<br />
sont soumis à un budget global réparti<br />
par l’entreprise sponsor ou son<br />
intermédiaire en fonction de critères<br />
objectifs et subjectifs d’appréciation.<br />
Plus la faille est critique, complexe, bien<br />
documentée avec si possible un « Proof<br />
of Concept », des recommandations,<br />
voire un patch, plus la récompense sera<br />
élevée.<br />
Les entreprises souhaitant recourir à cette<br />
pratique fixent le plus souvent les<br />
conditions dans lesquelles doit s’exercer<br />
la recherche de failles et définissent<br />
notamment :<br />
• le périmètre d’action, certains<br />
programmes limitant la recherche de faille<br />
à un logiciel précis, une application ou à<br />
certains sites internet ;<br />
• le type de failles ouvrant droit à<br />
rémunération. Il peut s’agir d’identifier une<br />
faille affectant la confidentialité ou<br />
l’intégrité des données des utilisateurs<br />
n’ayant jamais été repérée ou d’un simple<br />
bug;<br />
• la durée du Bug Bounty program : le<br />
plus souvent la période de test étant<br />
enfermée dans un délai précis avec des<br />
dates d’ouverture et de fermeture;<br />
• des règles de confidentialité : les Bug<br />
Bounty program insistent sur la nécessité<br />
de ne pas révéler la faille au public ou à<br />
des tiers avant qu’elle ne soit réparée;<br />
• des règles de protection des données<br />
personnelles : lorsque les Bug Bounty<br />
program concernent des sociétés en<br />
possession de données à caractère<br />
personnel (ex : Facebook, Google),<br />
l’exigence éthique est renforcée vis-à-vis<br />
des auditeurs. Ainsi, Facebook ou Google<br />
précisent dans leurs conditions<br />
l’obligation d’effectuer des tests via des<br />
comptes spécialement créés à cet effet<br />
ou d’obtenir l’accord explicite du<br />
propriétaire du compte sur lequel sont<br />
effectués les tests ;<br />
• des règles de conflit de lois : certains<br />
programmes précisent la juridiction<br />
compétente dans l’éventualité d’un conflit<br />
(par exemple, le Bug Bounty program<br />
4 e trimestre 2016 Revue de la Gendarmerie Nationale<br />
83