Démocratisé par le magazine Newsweek en 1983, la pertinence du terme « hacker » est aujourd’hui remise en cause. Du pirate informatique hollywoodien aux white hats, grey hats et black hats en passant par les hacktivists, le microcosme du hacking a démontré plus d’une fois son hétéroclisme. Alors que certains sont occupés à pirater le Pentagone ou à s’introduire dans les systèmes de sécurité des entreprises, d’autres piratent ces mêmes systèmes en toute légalité, répondant à un appel d’offre des plus particuliers : le bug bounty.
 
Inspiré du modèle d’amélioration des logiciels open source, le bug bounty est un programme de détection des failles de sécurité informatique. Il s’agit, pour une société, d’offrir une récompense à quiconque sera capable de détecter une faille nouvelle dans un périmètre donné : application, site Web, interface de programmation applicative, et cætera. Ainsi, les hackers, développeurs et experts du monde entier sont régulièrement appelés à entrer en compétition les uns avec les autres pour découvrir d’éventuels bugs. Une fois signalés, l’entreprise auteur du programme pourra les corriger avant qu’ils ne soient exploités par un pirate mal intentionné.
Cette pratique naît en octobre 1995, lorsque Netscape décide de récompenser quiconque saura faire remonter à sa connaissance les bugs et failles de Netscape Navigator 2.0, et s’est largement développée depuis.
La conférence CanSecWest organise, depuis 2007, le concours Pwn2Own. Ce nom, quelque peu barbare pour quiconque ne lit pas le l33t et n’a aucune idée de ce que “Powned” et “Owned” signifient, est évocateur: le premier participant à craquer un ordinateur équipé d’un système d’exploitation, de logiciels et d’un navigateur Web entièrement mis à jour le gagne. L’enjeu consiste pour ces friendly hackers à rechercher en secret et en amont les failles, pour les exploiter lors du concours. Après quoi, libre à eux de partager leurs découvertes aux sociétés concernées.
En mars 2016, Uber annonce le lancement d’un programme de bug bounty, mettant à la clé 10.000 dollars de cashprice. Les règles sont édictées: le périmètre n’est autre que l’ensemble des applications et sites d’Uber. L’expert en sécurité informatique qui découvrira un bug pouvant exposer les adresses mails des utilisateurs d’Uber ou dégrader les pages du site gagnera 5.000$, celui qui sera capable de prendre le contrôle complet des serveurs ou d’y introduire un logiciel malveillant empochera 10.000$.
Nombreuses sont les sociétés à avoir développé de tels programmes: Google, Yahoo ou encore Facebook, qui délivre aux chercheurs une carte de crédit customisée White Hat, rechargée à chaque nouveau défaut trouvé. Aux chercheurs: la reconnaissance de leurs pairs et une substantielle rémunération. Aux sociétés: une sécurité accrue, pour un prix modeste, en faisant intervenir ceux qui, quelques années auparavant, pratiquaient la chasse au bug comme un sport.
En septembre 2015, Mark Litchfield, créateur de la société Bug Bounty HQ, annonçait avoir gagné plus de 300.000$ grâce à ce business à l’image d’Internet: novateur et résolument tourné vers de nouvelles conceptions du monde économique.
 
Thomas Tritsch

A propos de Thomas Tritsch