Bonjour à tous et bienvenue dans le ZD Tech, le podcast quotidien de la rédaction de ZDNet. Je m’appelle Louis Adam et aujourd’hui, je vais vous expliquer comment les programmes de bug bounty peuvent parfois mal tourner.
Nous avons déjà parlé des bug bounty. Ces programmes permettent à des chercheurs en sécurité de signaler des vulnérabilités informatiques à des entreprises contre des primes, qui peuvent parfois atteindre des sommes importantes. Sur le papier, c’est une excellente idée : cela permet aux entreprises de corriger les vulnérabilités, et aux chercheurs indépendants de se faire payer. Malheureusement, tout ne se passe pas toujours comme prévu.
La question du scope
Il y a tout d’abord les questions épineuses liées à ce qu’on appelle « le scope », c’est-à-dire le champ d’application du programme de bug bounty. Lorsqu’une entreprise décide de lancer un bug bounty, elle tente bien souvent de cadrer les choses. Elle annonce que les primes ne sont versées que pour certaines de ses applications ou services, ou encore que certains types de failles ne donnent pas lieu à une rémunération. Et l’interprétation de ce cadre peut parfois conduire à des déconvenues.
C’est la mésaventure qu’un chercheur en sécurité a rencontrée en 2019, après avoir signalé des failles dans l’application Steam, éditée par la société Valve. Le chercheur avait décelé une faille permettant une élévation de privilège au travers de Steam. Il a donc tenté de signaler cette faille au travers du programme de bug bounty de Valve, géré à l’époque par la société américaine leader du secteur, HackerOne. Simplement, Valve n’avait pas prévu de payer pour ce type de vulnérabilité.
Sans avoir réussi à convaincre la société de la gravité de la faille, le chercheur a donc choisi de la dévoiler en public, sans que celle-ci ne soit corrigée en amont par la société. En réponse, Valve a banni le chercheur, provoquant un petit scandale dans la communauté de la sécurité informatique. Et Valve a finalement fait amende honorable : en réintégrant le chercheur à son programme, en corrigeant les failles découvertes et en modifiant le champ d’application de son bug bounty.
Dissimulation de cyberattaque
Mais ça aurait pu être pire. Parfois, les bug bounty sont utilisés pour dissimuler de vraies attaques. C’est plus ou moins ce qu’a tenté de faire l’ex responsable de la sécurité d’Uber en 2016.
A l’époque, deux cybercriminels parviennent à accéder aux données de 57 millions de conducteurs et de passagers utilisant l’application. Une mauvaise nouvelle pour le tout nouveau directeur sécurité du groupe. Mais celui-ci a une idée. Il entre en contact avec les cybercriminels et leur propose d’acheter leur silence contre une prime de 100 000 dollars en bitcoins. Un détournement des programmes de bug bounty de l’entreprise, qui lui a coûté son poste et de sérieux ennuis avec la justice.
Mais la méthode a fait des émules : parmi les nombreux services de finance décentralisée qui se sont fait pirater au cours des derniers mois, certains n’hésitent pas à proposer une prime à l’attaquant si celui-ci accepte de restituer les fonds volés. On l’a vu chez Akropolis, mais aussi chez Wormhole, ou encore chez QuBit Finance.
