Seul un hacker peut penser comme un hacker. Ainsi, quand il s’agit de devenir «à l’épreuve des pirates informatiques», vous devrez peut-être vous tourner vers un pirate informatique.
La sécurité des applications a toujours été un sujet brûlant qui n’a fait que s’accroître avec le temps.
Même avec une horde d’outils défensifs et de pratique à notre disposition (pare-feu, SSL, cryptographie asymétrique, etc.), aucune application Web ne peut prétendre qu’elle est sécurisée au-delà de la portée des pirates.
Pourquoi est-ce?
La simple raison est que la création de logiciels reste un processus très complexe et fragile. Il existe encore des bogues (connus et inconnus) dans la fondation utilisée par les développeurs, et de nouveaux sont créés avec le lancement de nouveaux logiciels et bibliothèques. Même les entreprises technologiques de premier plan sont prêtes à subir des embarras occasionnels, et pour une bonne raison.
Nous embauchons . . . Hackers!
Étant donné que bogues et vulnérabilités ne quittera probablement jamais le domaine du logiciel, où laisse-t-il les entreprises dépendantes de ce logiciel pour survivre ? Comment, par exemple, une nouvelle application de portefeuille peut-elle être sûre qu’elle résistera aux tentatives malveillantes des pirates informatiques ?
Oui, vous l’avez deviné maintenant: en engageant des hackers pour venir essayer cette application nouvellement créée! Et pourquoi le feraient-ils? Simplement parce qu’il y a une prime assez grande sur l’offre – la prime de bogue! 🙂
Si le mot «bounty» ramène des souvenirs du Far West et des balles tirées sans abandon, c’est exactement ce que l’idée est ici. Vous obtenez en quelque sorte les pirates les plus élitistes et les plus compétents (experts en sécurité) pour sonder votre application, et s’ils trouvent quelque chose, ils sont récompensés.
Il y a deux façons de procéder: 1) héberger vous-même une prime de bogue; 2) en utilisant une plateforme de bug bounty.
Bug Bounty: auto-hébergé vs plateformes
Pourquoi voudriez-vous vous donner la peine de sélectionner (et de payer) une plate-forme de bug bounty alors que vous pouvez simplement l’héberger vous-même. Je veux dire, il suffit de créer une page avec les détails pertinents et de faire du bruit sur les réseaux sociaux. Cela ne peut évidemment pas échouer, non?
Eh bien, c’est une bonne idée là, mais regardez-la du point de vue du pirate informatique. Se battre pour les bugs n’est pas une tâche facile, car cela nécessite plusieurs années de formation, une connaissance pratiquement illimitée des choses anciennes et nouvelles, des tonnes de détermination et plus de créativité que la plupart des « concepteurs visuels » (désolé, je n’ai pas pu résister à celui-là ! :-P).
Le hacker ne sait pas qui vous êtes ou n’est pas sûr que vous paierez. Ou peut-être, n’est pas motivé. Les primes auto-hébergées fonctionnent pour des mastodontes comme Google, Apple, Facebook, etc., dont les noms que les gens peuvent mettre sur leur portefeuille avec fierté. «Trouver une vulnérabilité de connexion critique dans l’application HRMS développée par XYZ Tech Systems» ne semble pas impressionnant, maintenant, n’est-ce pas (avec mes excuses à toute entreprise qui pourrait ressembler à ce nom!)?
Ensuite, il y a d’autres raisons pratiques (et écrasantes) de ne pas aller en solo quand il s’agit de primes de bogues.
Manque d’infrastructure
Les «hackers» dont nous parlons ne sont pas ceux qui traquent le Dark Web.
Ceux-ci n’ont ni le temps ni la patience pour notre monde «civilisé». Au lieu de cela, nous parlons ici de chercheurs ayant une formation en informatique qui sont soit dans une université, soit des chasseurs de primes depuis longtemps. Ces personnes veulent et soumettent des informations dans un format spécifique, ce qui est en soi une douleur à s’y habituer.
Même vos meilleurs développeurs auront du mal à suivre le rythme et le coût d’opportunité pourrait s’avérer trop élevé.
Résolution des soumissions
Enfin, il y a la question de la preuve. Le logiciel peut être construit sur des règles entièrement déterministes, mais le moment exact où une exigence particulière est satisfaite fait l’objet d’un débat. Prenons un exemple pour mieux comprendre.
Supposons que vous ayez créé une prime de bogue pour les erreurs d’authentification et d’autorisation. Autrement dit, vous prétendez que votre système est exempt de risques d’usurpation d’identité, que les pirates doivent subvertir.
Maintenant, le pirate a trouvé une faiblesse basée sur le fonctionnement d’un navigateur particulier, ce qui lui permet de voler le jeton de session d’un utilisateur et de se faire passer pour lui.
Est-ce une conclusion valable?
Du point de vue du pirate informatique, une brèche est définitivement une brèche. De votre point de vue, peut-être pas, car soit vous pensez que cela relève de la responsabilité de l’utilisateur, soit ce navigateur n’est tout simplement pas une préoccupation pour votre marché cible.
Si tout ce drame se produisait sur une plate-forme de bug bounty, il y aurait des arbitres capables de décider de l’impact de la découverte et de résoudre le problème.
Cela dit, examinons certaines des plates-formes de primes de bogues populaires.
YesWeHack
YesWeHack est une plate-forme mondiale de bug bounty qui offre une divulgation des vulnérabilités et une sécurité participative dans de nombreux pays tels que la France, l’Allemagne, la Suisse et Singapour. Il fournit une solution perturbatrice de Bug Bounty pour faire face aux menaces croissantes avec l’augmentation de l’agilité de l’entreprise où les outils traditionnels ne répondent plus aux attentes.
YesWeHack vous permet d’accéder au pool virtuel de hackers éthiques et d’optimiser les capacités de test. Sélectionnez les chasseurs que vous souhaitez et soumettez les scopes à tester ou partagez-les avec la communauté YesWeHack. Il suit des réglementations et des normes strictes pour protéger les intérêts des chasseurs ainsi que les vôtres.
Améliorez la sécurité de votre application en tirant parti de la réactivité du chasseur et réduisez le temps de résolution et de détection des vulnérabilités. Vous pourrez voir la différence une fois que vous aurez lancé le programme.
Open Bug Bounty
Payez-vous trop cher pour les programmes de bug bounty ?
Essayez Ouvrir Bug Bounty pour les tests de sécurité des foules.
Il s’agit d’une plate-forme de primes aux bogues dirigée par la communauté, ouverte, gratuite et désintermédiée. De plus, il offre une divulgation responsable et coordonnée des vulnérabilités compatible avec ISO 29147. À ce jour, il a aidé à corriger plus de 641 XNUMX vulnérabilités.
Des chercheurs et des professionnels de la sécurité de sites de premier plan tels que WikiHow, Twitter, Verizon, IKEA, MIT, Berkeley University, Philips, Yamaha, etc. ont utilisé la plate-forme Open Bug Bounty pour résoudre leurs problèmes de sécurité tels que les vulnérabilités XSS, Injections SQL, etc. Vous pouvez trouver des professionnels très compétents et réactifs pour faire votre travail rapidement.
Hackerone
Parmi les programmes de bug bounty, Hackeron est le leader lorsqu’il s’agit d’accéder aux pirates, de créer vos programmes de primes, de faire passer le mot et d’évaluer les contributions.
Il existe deux façons d’utiliser Hackerone: utilisez la plate-forme pour collecter des rapports de vulnérabilité et les résoudre vous-même ou laissez les experts de Hackerone faire le travail difficile (triage). Le tri consiste simplement à compiler des rapports de vulnérabilité, à les vérifier et à communiquer avec les pirates.
Hackerone est utilisé par de grands noms comme Google Play, PayPal, GitHub, Starbucks, etc., donc bien sûr, c’est pour ceux qui ont de graves bugs et de graves poches. 😉
Bugcrowd
Foule propose plusieurs solutions d’évaluation de la sécurité, l’une d’entre elles étant Bug Bounty. Il fournit une solution SaaS qui s’intègre facilement dans le cycle de vie de votre logiciel existant et permet d’exécuter un programme de bounty réussi en un clin d’œil.
Vous pouvez choisir d’avoir un programme de prime de bogue privé qui implique quelques pirates informatiques ou un programme public qui se fonde sur des milliers.
SafeHats
Si vous êtes une entreprise et que vous ne vous sentez pas à l’aise de rendre public votre programme de bug bounty – et que vous avez en même temps besoin de plus d’attention que ce que peut offrir une plateforme de bug bounty typique – Chapeaux de sécurité est votre pari le plus sûr (terrible jeu de mots, hein?).
Un conseiller en sécurité dédié, des profils de hackers détaillés, une participation sur invitation uniquement – tout est fourni en fonction de vos besoins et de la maturité de votre modèle de sécurité.
Intigriti
Intigriti est une plate-forme complète de bug bounty qui vous connecte avec des hackers white hat, que vous souhaitiez exécuter un programme privé ou public.
Pour les hackers, il y a beaucoup de primes attraper. En fonction de la taille de l’entreprise et de l’industrie, des chasses aux insectes allant de 1,000 20,000 € à XNUMX XNUMX € sont proposées.
Synack
Synack semble être l’une de ces exceptions du marché qui brisent le moule et finissent par faire quelque chose d’énorme. Leur programme de sécurité Hack le Pentagone a été le point culminant, conduisant à la découverte de plusieurs vulnérabilités critiques.