Le «Bug bounty», ou comment gagner de l’argent grâce aux bugs des géants de la tech

MONEY MONEY MONEY Repérer un bug d'une entreprise de la tech est un business à part entière...

L.B.

— 

Paris le 04 fevrier 2013. Illustration  argent, billets de banque tenus dans une main.
Paris le 04 fevrier 2013. Illustration argent, billets de banque tenus dans une main. — A. GELEBART / 20 MINUTES
  • Une faille sur l’application Facetime d’Apple a été repérée par un adolescent de 14 ans qui jouait à Fortnite.
  • Apple, comme d’autres entreprises de la tech, rémunère les personnes qui trouvent des failles de sécurité avec son programme «Bug bounty».
  • Les primes peuvent grimper très haut, plusieurs centaines de milliers d’euros, selon les cas.

Le Bug bounty n’est pas une barre chocolatée à l’huile de palme, pas d’inquiétude pour votre taux de cholestérol (ni pour la planète), on vous rassure. Derrière cet anglicisme amphigourique, il faut comprendre, la « prime au bug ». En début de semaine, la presse américaine a révélé comment une faille sur l’application Facetime d’Apple a été repérée par un adolescent de 14 ans qui jouait à Fortnite. La mère de l’enfant a soumis le rapport de bug aux développeurs de l’entreprise vendredi.

Il faut savoir que repérer un bug est un business à part entière. Par exemple, Apple, et son programme Bug bounty, offre des sommes qui peuvent se chiffrer à plusieurs centaines de milliers d’euros pour quiconque mettrait la main sur une faille de sécurité liée à une de ses applications. Retour sur cette activité lucrative qui permet de beurrer généreusement les épinards de petits génies de l’informatique.

Trouver des failles grâce à la communauté

« Le Bug bounty vient des Etats-Unis, explique Damien Bancal, spécialiste de la sécurité informatique et fondateur du site Zataz. Des entreprises se sont rendu compte que faire appel à des passionnés d’informatique constituait un moyen de tester la sécurité d’applications, de site Internet, et de corriger les failles repérées. »

Le dénicheur de bugs peut ajouter une expérience en cybersécurité légale sur son CV - c’est mieux que de faire de l’audit sauvage pour s’entraîner -, se faire connaître dans le milieu et gagner de l’argent par la même occasion. Une génération 2.0 de chasseurs de prime, en d’autres mots.

Inscription ouverte à tous ceux qui veulent s’entraîner à hacker

En France, il en existe au moins deux dont Yes we hack, le plus connu, qui commence à attirer des entités gouvernementales. «  Le ministère de la Défense a passé un accord lors du FIC (le Forum international de la cybersécurité) à Lille la semaine dernière, pour tester ses applications », poursuit le spécialiste. « C’est devenu indispensable aujourd’hui parce que les entreprises n’ont pas forcément les moyens de payer des spécialistes, elles font appel à des entités Bug bounty. Et ça fait de la bonne pub », insiste-t-il.

Concrètement, toutes les personnes qui veulent s’entraîner à hacker peuvent s’inscrire. Le programme fait passer des tests pour évaluer le niveau du « chasseur » en informatique. Il fixe des règles : les entreprises à auditer, les sommes à gagner, les attaques interdites (DDOS, social engineering…).

Un travail à part entière

Lorsqu’on navigue sur hackerone.com, le programme Bug bounty associé à la firme à la pomme, on découvre différentes catégories de bugs à trouver : 200.000 dollars (174.651 euros) pour voir si on est capable d’extraire des informations à partir d’une zone sécurisée d’Apple, par exemple. Une autre catégorie invite l’informaticien à voir si on peut accéder à l’iCloud ou si on peut exécuter un code malveillant dans le système…

« Plus la faille est importante et plus elle va être corrigée rapidement, et plus ces sociétés vont protéger leur business et leurs clients. Il est normal de mettre de l’argent sur la table pour inciter ceux qui veulent le faire », analyse Damien Bancal. Ça pourrait donner des idées aux hackers chevronnés lassés par le métro-boulot-dodo. D’autant que les montants peuvent grimper très haut.