HackerOne : « notre rôle est d’apporter de la confiance »
Le bug bounty est un programme qui permet à des entreprises de proposer des récompenses financières pour des chercheurs qui découvrent des failles de sécurité dans les services ou produits. HackerOne, entreprise américaine qui propose aux entreprises d’externaliser la mise en place de ce type de programme au travers de sa plateforme, est aujourd’hui un acteur majeur de ce marché. En France, Yogosha ou YesWehack se positionnent sur un secteur similaire.
ZDNet.fr : Quel est le rôle d’une plateforme de bug bounty comme HackerOne, et d’où viennent vos revenus ?
Marten Mickos : Nos revenus proviennent des paiements annuels de nos clients, qui paient pour être présents sur notre plateforme. Nous gérons l’entièreté du programme pour eux : nous étudions les rapports, nous les conseillons sur le barème des primes à verser aux chercheurs qui soumettent des vulnérabilités, nous présentons le service et nous procédons aux paiements. L’idée est que nos entreprises clientes n’aient à s’occuper que de corriger les failles en question.
On a constaté depuis longtemps que le meilleur moyen de tester sa sécurité est d’essayer de se faire pirater. Et c’est ce que nous proposons à nos clients. L’idée phare du bug bounty, c’est qu’un acteur extérieur à l’entreprise aura plus de chance pour trouver les failles de sécurité qu’un acteur en interne.
Qui paye les primes ?
Le client paye les primes reversées aux chercheurs en sécurité. Il a le contrôle complet sur le montant des récompenses offertes. Notre rôle est de le guider et de lui offrir des conseils sur les tarifs. C’est un peu comme pour Airbnb : ils vous proposent des recommandations pour les prix de location mais au final, vous seul décidez du prix.
La plupart des clients écoutent nos recommandations parce que nous connaissons bien le marché des vulnérabilités. Nous demandons à nos clients ce qu’ils sont prêts à envisager comme budget, si ils veulent rester sur des primes minimales ou généreuses, puis nous leur proposons une grille de prix. La plupart comprennent rapidement l’intérêt de payer plus : cela attire rapidement les meilleurs hackers du lot.
Quel type d’entreprise s’intéresse à ces programmes ?
Le bug bounty est souvent moins coûteux que de nombreuses autres solutions visant à éprouver la sécurité. Mais effectivement, pour être réellement efficace, il y a un budget minimum à lui accorder. Ce n’est donc pas forcement à la portée de tous les acteurs, surtout ceux de plus petite envergure comme les start-up.
Cela devient intéressant de se lancer là-dedans quand on est prêt à accorder un budget se comptant en dizaines de milliers de dollars par an. Ce n’est pas forcément suffisant : nous avons des clients qui sont capables de dépenser des centaines de milliers – voire des millions – de dollars pour les primes reversées. Ça n’est pas forcément à la portée de toute les entreprises, surtout celles qui débutent. Mais c’est un moyen de montrer à la communauté de la sécurité que l’on prend bien en compte les rapports des chercheurs tiers. C’est aussi un moyen de convaincre le consommateur final que la sécurité est correctement prise en compte.
Quel est le rôle de HackerOne en cas de conflit entre un client et un chercheur en sécurité ? On pense notamment au cas de Steam en 2019.
Nous sommes une plateforme de médiation : notre rôle est d’apporter de la confiance entre deux groupes (les entreprises et les hackers) qui ne se font habituellement pas confiance. Mais il y parfois des conflits, que nous nous efforçons de résoudre au mieux. Nous ne sommes pas partie prenante et nous nous efforçons dans ces cas de figure de désamorcer la situation : nous rentrons en contact avec les différents acteurs afin d’essayer de calmer le jeu. Parfois, des erreurs sont faites. Mais c’est rare : c’est arrivé peut-être 20 ou 30 fois, alors que nous avons déjà géré plus d’un million de rapport de vulnérabilités correctement.
Nous avons une procédure standard pour ce genre de cas, mais nous essayons néanmoins de considérer chaque situation comme unique. Dans la plupart des cas, nous essayons d’apporter un élément d’humanité à la situation.
Souvent, les hackers ne sont pas sur la même temporalité que les entreprises, qui peuvent parfois mettre des jours voire des semaines pour corriger une faille. Les deux parties ont généralement des raisons légitimes d’agir ainsi. Mais nous ne jouons pas ce rôle de médiateur à contrecœur, nous le jouons volontairement parce que c’est notre travail.
Est ce que vous ne risquez pas d’être biaisé en faveur des clients payants de votre plateforme, au détriment des chercheurs tiers ?
Non, il n’y a pas de biais. Le fait est que nos meilleurs hackers sur la plateforme ont très peu de conflits : ils n’ont simplement pas le temps pour ça et préfèrent travailler plutôt que de perdre leur temps sur des situations de ce type. Lorsque des conflits sérieux arrivent, c’est généralement parce que quelqu’un a fait une erreur quelque part ou que quelqu’un n’est pas au niveau.
Est-ce que votre positionnement aux Etats-Unis vous ferme la porte pour travailler avec certains acteurs qui ne souhaiteraient pas voir des données sensibles sur des vulnérabilités stockées sur des serveurs à l’étranger ?
Si un hacker trouve une vulnérabilité, d’autres le feront. Nous avons des études montrant le taux de collisions, la probabilité qu’une même vulnérabilité soit découverte par deux personnes différentes au même moment : il est bas, mais il reste significatif. Dans ce cas de figure, vous ne devriez pas vous inquiéter de savoir où est stockée la vulnérabilité, vous devriez plutôt vous inquiéter de la corriger rapidement.
Notre avantage, c’est de pouvoir apporter une communauté de hackers provenant du monde entier. C’est par ce biais que nos clients pourront bénéficier des meilleurs. Nous avons les meilleurs hackers, ceux qui travaillent à pirater les entreprises les plus prestigieuses. Aujourd’hui, la menace est globale et notre communauté répond à cette évolution en proposant des hackers venant de tous horizons.
