Qu’est-ce que le “bug bounty” dans le domaine de la cybersécurité ?

Il est aujourd’hui impossible d’affirmer que tout logiciel développé et édité sur le marché ne contient potentiellement aucune vulnérabilité. A chaque sortie d’une solution logicielle, il y a un potentiel plus ou moins vaste de failles de sécurité pouvant permettre à un hacker peu scrupuleux de causer un dommage à une partie. Existe-t-il des solutions à disposition des éditeurs afin que des moyens suffisants soient déployés pour remédier aux plus vite à ces vulnérabilités ? Les programmes de « bug bounty » en font partie.

Par définition, le bug bounty est un programme d’une grande envergure permettant à une société (éditeur de logiciel, entreprise spécialisée dans les technologies de l’information) de proposer une récompense à des spécialistes de cybersécurité (hackers, chercheurs) qui trouveraient une vulnérabilité non identifiée lors du développement.

Les premiers programmes de bug bounty ont commencé à se développer entre les années 1980 et 2000. On relèvera notamment le bug bounty de la société « Hunter & Ready » en 1983 ou encore celui de la société « Netscape Communications » en 1995. Aujourd’hui les géants du numérique ont recours à ces programmes pour permettre le déploiement massif de chercheurs. Citons Google en 2018 qui a récompensé près de 317 spécialistes jusqu’à 41 000 dollars sur un montant total investi de 3,4 millions.

A noter qu’il existe plusieurs formes de bug bounty (interne, externe, privé ou public) qui seront adoptées en fonction des moyens dont dispose la société fournisseuse de logiciels. Ce qui permet d’élaborer des programmes variés proposés à des chercheurs motivés.

Enfin, il convient de souligner un second aspect crucial du bug bounty : les participants sont soumis à des règles ainsi qu’à un cadre éthique. Parmi ces règles, il n’est pas étonnant d’observer que le chercheur devra immédiatement signaler toute vulnérabilité découverte afin que ce dernier ne l’exploite pas à d’autres desseins.

A propos de Paul VAILLANT

Étudiant Master 2 - Droit de l’Économie Numérique (Faculté de droit de Strasbourg)

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.