Il est de plus en plus fréquent d’entendre parler de piratage de très grande ampleur, avec des conséquences parfois dramatiques. Vérifier que son site, ses logiciels et ses processus sont robustes devient une nécessité, très coûteuse généralement. La notion de bug bounty permettra peut-être de simplifier tout cela.
De nos jours tout le monde ou presque utilise des outils informatiques pour les tâches de la vie quotidienne. Il devient donc de plus en plus compliqué de s’affranchir de ses outils, et de réussir à tout faire quand ces derniers sont inopérants, que ce soit à cause d’une panne fortuite, ou de la malignité de certains.
Pour les entreprises, il devient nécessaire de s’assurer du bon fonctionnement de ses produits. Cela passe par d’intenses phases de vérification de logiciel et de test, mais aussi par des test d’intrusions et de piratage durant lesquels des experts en sécurité se mettent dans la peau de pirates essayant de compromettre les systèmes de sécurité mis en place.
Pour cela, ils tenteront des atteintes aux systèmes de traitement automatisé de données, ils essaieront d’accéder aux données personnelles des clients (dont les données bancaires), ils iront jusqu’à essayer de rendre les systèmes inopérants (de plus en plus d’entreprises sont menacées et doivent payer une rançon pour s’assurer la continuité des services en évitant une attaque de type locky ou ddos sur des e-commerces).
Trouver ces experts, qui sauront repérer les failles, cela coûte très cher et c’est compliqué car cela demande de connaitre les bonnes personnes. C’est pour cela que des grosses entreprises ont créée des programmes de recherche de bugs, où toute personne qui trouve un bug peut être récompensée.
Par exemple, une société française a mis en place récemment une plateforme de bug bounty : bounty factory. Elle offre la la possibilité aux entreprises intéressées d’externaliser la recherche de vulnérabilités en
collectant un nombre significatif de failles de sécurité potentielles. L’avantage d’une telle plateforme par rapport à un unique prestataire, c’est la possibilité de faire tester la sécurité de son site ou de ses applications en continu par des centaines d’experts, en leur proposant une récompense, financière ou autre.
Est-ce le futur de la sécurité ? L’avenir le dira.