Qu’est-ce que le programme de bug bounty?

Les programmes de bug bounty sont devenus un moyen de plus en plus populaire pour les organisations de trouver et de corriger les vulnérabilités de leurs logiciels et services.

Jusqu’à relativement récemment, ce sont principalement les éditeurs de logiciels et les sociétés de technologie qui ont utilisé cette tactique.

Cependant, au cours des deux dernières années environ, un nombre croissant d’autres organisations – telles que les compagnies aériennes, les entreprises automobiles et les sociétés financières – ont également commencé à externaliser leur découverte de vulnérabilité via des programmes officiels de recherche de bogues.

Le principal attrait de ces programmes est qu’ils offrent aux organisations – en particulier celles qui manquent de ressources – un moyen relativement peu coûteux de découvrir des failles de sécurité qu’elles auraient pu manquer autrement.

Les sociétés de coordination des primes aux bogues telles que HackerOne et BugCrowd ont toutes deux signalé un intérêt généralisé pour leurs services auprès d’organisations de tous les horizons. Les deux tiennent des listes de milliers de chercheurs en sécurité.

“Nous constatons que l’adoption continue de croître alors que les entreprises reconnaissent que les programmes de primes aux bogues sont un aspect clé de leur programme de sécurité”, a déclaré David Baker, vice-président des opérations chez BugCrowd.

Cette semaine, par exemple, BugCrowd a annoncé avoir lancé un programme de primes de bogues pour un client secret. Ce qui a rendu cette annonce importante, c’est la récompense maximale de 250 000 $ offerte dans le cadre du programme, l’un des paiements les plus élevés de l’industrie. Tout chercheur peut postuler au programme, mais seuls ceux sélectionnés peuvent participer.

“Au fur et à mesure que le modèle gagne du terrain, il attire des entreprises plus traditionnelles qui cherchent à lutter contre l’impact d’une surface d’attaque croissante et changeante et des adversaires motivés”, explique Baker.

Voici sans ordre certains des meilleurs programmes de primes de bogues:

1) Programme de prime aux bogues Microsoft Windows:

Au fil des ans, Microsoft a lancé plusieurs programmes de correction de bogues couvrant une large gamme de produits. Mais avec une récompense de 250 000 $, le programme Windows Bug Bounty qu’il a lancé en juillet se distingue par l’un des plus importants paiements pour la découverte de bogues offerts par un fournisseur de technologie. Le programme couvre Windows 10, y compris Windows Insider Preview.

Les chercheurs en sécurité qui trouvent une exécution de code à distance, une élévation de privilèges ou toute autre faille critique dans Microsoft Hyper-V peuvent gagner entre 5 000 et 250 000 $. Les récompenses pour les failles de contournement de l’atténuation de Windows 10 atteignent 200 000 $ tandis que les failles dans des technologies telles que Microsoft Edge et Windows Defender Application Guard varient de 500 $ à 30 000 $.

2) BugCrowd

Cette semaine, BugCrowd a lancé un nouveau programme de primes aux bogues qui offre un paiement maximal de 250 000 $, ce qui est conforme à la plus haute récompense de Microsoft. Tout chercheur en sécurité peut demander à participer contrairement aux programmes de chasse aux bogues sur invitation uniquement. Cependant, la participation est ouverte uniquement aux personnes réellement sélectionnées pour le programme.

Selon BugCrowd, les chercheurs en sécurité expérimentés dans le déploiement de machines virtuelles, la manipulation entre instances, l’exploitation de composants hôtes et la sécurité avancée des applications pourraient envisager de postuler au programme.

3) Programme de récompense de vulnérabilité de Google

Le programme de primes aux bogues de Google fait la coupe simplement parce que l’entreprise a peut-être versé plus de primes aux chercheurs en sécurité que quiconque – du moins publiquement. Depuis qu’il a lancé le programme de divulgation des vulnérabilités en 2010, Google a versé plus de 9 millions de dollars aux chercheurs qui ont trouvé des bogues dans les services Web, les applications Google, Android et Chrome appartenant à Google. La société a récompensé plus de 1 000 chasseurs de bogues pour leurs découvertes de vulnérabilité, le paiement individuel le plus élevé jusqu’à présent étant de 100 000 $.

Les paiements individuels eux-mêmes sont assez modestes et varient entre 100 $ et 31 300 $ pour les défauts d’exécution de code à distance, tels que les bogues d’injection de commande et de désérialisation.

4) Programme de parrainage de recherche sur l’Exodus Intelligence

Peut-être qu’aucun programme ne montre à quel point la chasse aux bogues peut être lucrative que le RSP d’Exodus Intelligence. Le programme a été lancé en août 2016 et offre de belles récompenses aux chercheurs en sécurité qui trouvent des vulnérabilités à 0 jour et des exploits entièrement fonctionnels pour les correctifs dans certains produits.

La liste des succès du jour zéro du programme comprend une récompense maximale de 500 000 $ pour les exploits iOS, 150 000 $ pour les exploits Chrome et 125 000 $ pour les exploits dans Microsoft Edge. Les récompenses pour ces catégories sont considérablement plus élevées que celles que proposent les vendeurs eux-mêmes. De plus, contrairement aux fournisseurs qui achètent des informations sur les vulnérabilités pour pouvoir réparer leurs produits, Exodus revend les informations à ses abonnés.

5) Prime de bogue AgileBits pour 1 mot de passe

En plus d’offrir la récompense la plus élevée actuellement disponible sur BugCrowd, le programme de prime aux bogues à plusieurs niveaux d’AgileBits est également intéressant d’un autre point de vue. Le premier prix de l’entreprise de 100000 $ est disponible pour tous ceux qui peuvent obtenir et décrypter ce que AgileBits décrit comme un haïku assez horrible stocké dans un coffre-fort 1Password qui, techniquement au moins, ne devrait être accessible à personne.

Le défi «capturer le drapeau» avec le programme incite les chercheurs à se concentrer sur des domaines spécifiques, explique David Baker, vice-président des opérations chez BugCrowd. «Le programme 100K Capture the Flag de 1Password est une approche unique des incitations pour les chercheurs qui garantit l’engagement continu des chercheurs», dit-il. “Les concours de capture de drapeau représentent souvent bien plus qu’un P1 ou une vulnérabilité critique.” il dit.

6) Pirater le Pentagone

Hack The Pentagon était un programme de primes aux bogues du Département américain de la Défense (DoD) qui s’est déroulé entre avril 2016 et mai 2016. Au cours de ce mois, environ 250 chercheurs sur la vulnérabilité ont signalé des bogues au Pentagone, dont 138 ont été jugés éligibles. pour des primes allant de 100 $ à 15 000 $. En tout, le gouvernement a payé un total de 75 000 $ pour les bogues signalés dans les sites Web publics du Pentagone, dans le cadre du programme.

Hack The Pentagon a été le premier programme de primes aux bogues du gouvernement fédéral et la raison pour laquelle il continue d’être important est qu’il a lancé un nouveau programme de divulgation de vulnérabilité DoD. Suite au succès du programme Hack The Pentagon, le DoD a organisé un programme Hack The Army et Hack The Air Force et prévoit de tenir plus d’une douzaine de défis similaires.

7) Programme Apple Bug Bounty

Apple a été l’un des derniers parmi les principaux fournisseurs de technologies à lancer un programme de primes aux bogues. Quand il l’a finalement fait à Black Hat USA 2016, il est sorti avec un programme de récompenses sur invitation qui correspondait aux meilleurs de l’industrie au moins en termes de paiements offerts. La société, par exemple, offre actuellement une prime pouvant atteindre 200 000 $ pour les vulnérabilités critiques de ses technologies de démarrage sécurisé. Apple promet jusqu’à 100 000 $ pour certains types de failles dans sa technologie Secure Enclave et 50 000 $ pour les vulnérabilités exécutables à distance qui autorisent les données de compte d’accès non autorisées dans iCloud.

Mais si élevées que soient les récompenses, elles ne sont apparemment pas suffisantes. Les bogues dans les produits Apple, en raison de leur relative rareté, rapportent des prix beaucoup plus élevés que les primes offertes par la société. La prime de 500 000 $ offerte par Exodus pour Apple 0 jours n’est qu’un exemple. Les chasseurs d’insectes n’ont donc pas exactement trébuché sur eux-mêmes en rapportant leurs trouvailles au vendeur.

8) Programme de Bug Bounty de Facebook

Comme Google, Facebook fait la liste non pas tant en raison de la taille de son paiement le plus élevé, mais simplement en raison du montant cumulatif qu’il a versé au fil des ans aux chercheurs qui ont trouvé des failles de sécurité dans ses produits. En octobre dernier, Facebook a déclaré avoir versé plus de 5 millions de dollars en primes aux chasseurs d’insectes en cinq ans. Rien qu’au cours du premier semestre de 2016, l’entreprise a reçu plus de 9 000 rapports et payé plus de 611 000 $ à 149 chercheurs. En janvier de cette année, Facebook a attribué sa plus grosse prime unique de 40 000 $ à un chercheur qui a découvert une faille critique exécutable à distance dans un outil de retouche photo.

9) Programme de divulgation de la vulnérabilité de LocalTapiola

Le géant finlandais des assurances LocalTapiola offre actuellement la prime de bogue la plus élevée – 50 000 $ – sur la plateforme HackerOne. Le programme de bug bounty est privé et ouvert uniquement aux personnes qui ont une expérience et une réputation éprouvées. La société affirme avoir déjà un arriéré de chercheurs sur sa liste. Il a récemment versé 18 000 $ à un pirate informatique, mais personne n’a encore réclamé le premier prix.

Oui, vous pouvez facilement apprendre, mais assurez-vous que vous devez apprendre les choses ci-dessous.

→ Affichez d’abord les bogues déjà signalés, c’est-à-dire les bogues divulgués sur YouTube afin de vous faire une idée des bogues que vous pouvez soumettre.

→ La façon la plus simple d’apprendre rapidement est

→ Cross site scripting (XSS)

→ Falsification de requête intersite (CSRF)

→ Ouvrir le redirecteur

→ Cliquez sur Jacking

Les choses ci-dessous sont les choses les plus difficiles, mais vous devez comprendre et apprendre ce qu’elles sont

→ Exécution de code à distance

→ Injection Sql

Les piratages non autorisés sont plus courants ces jours-ci et peuvent avoir des conséquences catastrophiques pour l’organisation qui subit une violation. Ainsi, des géants de la technologie comme Facebook et Microsoft utilisent des primes de bogue depuis des années alors qu’Apple et Uber ont rejoint la flotte un peu plus tard.

C’est ainsi que ce pirate informatique de 25 ans a gagné 80 000 $ en 8 mois au clair de lune en tant que «chasseur de primes». Oui, un programme de primes de bogues vous rapportera une énorme récompense en fonction de l’importance du bogue que vous chassez.

La chasse aux insectes est une profession relativement nouvelle mais, ces dernières années, elle est devenue une mesure de sécurité importante pour les entreprises technologiques, surtout si ces entreprises dépendent fortement d’Internet et que celles qui découvrent la vulnérabilité des produits en premier peuvent faire une grande différence.

Il existe de nombreux articles et blogs que vous pouvez trouver en ligne pour obtenir un indice pour commencer à chasser. (Juste google à ce sujet)

Bonne chasse!

De nombreuses entreprises conservent des récompenses à condition que vous trouviez des bogues dans leurs logiciels / bases de données / programmes. Cette gestion stratégique s’appelle Bug Bounty Program .

Si vous êtes assez cool pour trouver des bugs pour Google ou Facebook, vous en obtiendrez probablement un million.

J’ai dit pour autant que je sache. J’espère que cela vous aidera.

Vous pouvez trouver vos réponses dans mes réponses récentes sur quora, il suffit de parcourir mon profil, de me suivre et d’obtenir vos réponses de manière très précise