ZD Tech : Quand le bug bounty tourne mal

ZD Tech : Quand le bug bounty tourne mal

Bonjour à tous et bienvenue dans le ZDTech, le podcast quotidien de la rédaction de ZDNet. Je m’appelle Louis Adam et aujourd’hui, je vais vous expliquer comment les programmes de bug bounty peuvent parfois mal tourner.

Nous avons déjà parlé des bug bounty. Ces programmes permettent à des chercheurs en sécurité de signaler des vulnérabilités informatiques à des entreprises contre des primes, qui peuvent parfois atteindre des sommes importantes. Sur le papier, c’est une excellente idée : cela permet aux entreprises de corriger les vulnérabilités, et aux chercheurs indépendants de se faire payer. Malheureusement, tout ne se passe pas toujours comme prévu.

Il y a tout d’abord les questions épineuses liées à ce qu’on appelle « le scope », c’est à dire le champ d’application du programme de bug bounty. Lorsqu’une entreprise décide de lancer un bug bounty, elle tente bien souvent de cadrer les choses. Elle annonce que les primes ne sont versées que pour certaines de ses applications ou services, ou encore que certain types de failles ne donnent pas lieu à une rémunération. Et l’interprétation de ce cadre peut parfois conduire à des déconvenues.

C’est la mésaventure qu’un chercheur en sécurité a rencontré en 2019, après avoir signalé des failles dans l’application Steam édité par la société Valve. Le chercheur avait décelé une faille permettant une élévation de privilège au travers de Steam. Il a donc tenté de signaler cette faille au travers du programme de bug bounty de Valve, géré à l’époque par la société américaine leader du secteur, HackerOne. Simplement Valve n’avait pas prévu de payer pour ce type de vulnérabilité.

Sans avoir réussi à convaincre la société de la gravité de la faille, le chercheur a donc choisi de la dévoiler en public, sans que celle ci ne soit corrigée en amont par la société. En réponse, Valve a banni le chercheur, provoquant un petit scandale dans la communauté de la sécurité informatique. Et Valve a finalement fait amende honorable : en réintégrant le chercheur à son programme, en corrigeant les failles découvertes et en modifiant le champ d’application de son bug bounty.

Mais ça aurait pu être pire. Parfois les bug bounty sont utilisés pour dissimuler de vraies attaques. C’est plus ou moins ce qu’a tenté de faire l’ex responsable de la sécurité d’Uber en 2016.

A l’époque, deux cybercriminels parviennent à accéder aux données de 57 millions de conducteurs et de passagers utilisant l’application. Une mauvaise nouvelle pour le tout nouveau directeur sécurité du groupe. Mais celui ci a une idée. Il entre en contact avec les cybercriminels et leur propose d’acheter leur silence contre une prime de 100 000 dollars en bitcoin. Un détournement des programmes de bug bounty de l’entreprise, qui lui a coûté son poste et des ennuis sérieux avec la justice.

Mais la méthode a fait des émules : parmi les nombreux services de finance décentralisée qui se sont fait pirater au cours des derniers mois, certains n’hésitent pas à proposer une prime à l’attaquant si celui ci accepte de restituer les fonds volés. On l’a vu chez Akropolis, mais aussi chez Wormhole, ou encore chez QuBit Finance.

publicité

Leave a Reply

Your email address will not be published. Required fields are marked *