1_bug bounty
π Digital
Sommes-nous prêts pour une cyber-pandémie ?

Des hackers éthiques au service des entreprises

Arrah-Marie Jo, enseignante-chercheuse en économie de la sécurité de l'information à IMT Atlantique et David Massé, co-responsable du groupe économie-gestion de Télécom Paris (IP Paris)
Le 3 mars 2021 |
5 mins de lecture
4
Des hackers éthiques au service des entreprises
Arrah-Marie Jo
Arrah-Marie Jo
enseignante-chercheuse en économie de la sécurité de l'information à IMT Atlantique
David Massé
David Massé
co-responsable du groupe économie-gestion de Télécom Paris (IP Paris)
En bref
  • Les bug bounties [primes aux bogues] permettent aux entreprises de laisser des hackers « éthiques » (white hats) chercher des failles dans leurs systèmes informatiques, et de les rémunérer s’ils en trouvent.
  • La plus grande plateforme d’organisation de bug bounties, HackerOne, est utilisée par plus de 7 000 entreprises, qui ont distribué au total plus de 100 millions de dollars de prime entre 2013 et mai 2020.
  • L’enjeu pour les entreprises est également de recruter ces hackers, pour internaliser la lutte contre la cybercriminalité et diffuser ces compétences précieuses au sein des équipes.

Ils sont le cauchemar des entre­pris­es, ils usur­pent nos iden­tités, paral­y­sent les activ­ités des organ­i­sa­tions et cam­bri­o­lent des places bour­sières de cryp­to-mon­naie. Deux tiers des entre­pris­es mon­di­ales auraient subi une cyber­at­taque en 2020, ce qui représen­terait une perte de plus de 1000 mil­liards de dol­lars, soit env­i­ron 1% du PIB mon­di­al 1.

Pour lut­ter con­tre les failles de cyber­sécu­rité, les entre­pris­es font de plus en plus appel à des pro­grammes de bug boun­ty [prime aux bogues]. Le principe est sim­ple : les entre­pris­es per­me­t­tent à des hack­ers d’explorer leurs pro­grammes, sites web ou appli­ca­tions à la recherche de failles de sécu­rité à sig­naler. Les avan­tages pour les firmes sont nom­breux, mais le prin­ci­pal est financier. L’entreprise ne paie une prime que si une nou­velle vul­néra­bil­ité est détec­tée, au con­traire des tra­di­tion­nels audits en cyber­sécu­rité, qui sont coû­teux et doivent être réal­isés fréquemment.

Démoc­ra­ti­sa­tion du phénomène

Les plate­formes met­tant en rela­tion les entre­pris­es et les hack­ers éthiques sont apparues dès fin 2013 et le marché se développe très rapi­de­ment. À titre d’exemple, HackerOne, le leader du marché enreg­istre plus de 7 000 entre­pris­es util­isant ses ser­vices, ce qui représente plus de 100 mil­lions de dol­lars de prime entre 2013 et mai 2020, et une crois­sance annuelle moyenne de 86% du mon­tant total des primes dis­tribuées par les entreprises.

Si à l’origine les pro­grammes de bug boun­ty étaient réservés aux entre­pris­es du secteur du Web et de la Tech (Netscape, Mozil­la, Google, Face­book, Microsoft…) ain­si qu’aux entre­pris­es spé­cial­isées dans la cyber­sécu­rité, on con­state à présent une général­i­sa­tion de son usage à la fois dans le secteur privé (Unit­ed Air­lines, BNP Paribas…) et pub­lic (la Com­mis­sion Européenne, Appli­ca­tion Anti­Covid…), autant dans des entre­pris­es éloignées du Web (Star­bucks, Hyatt, Gen­er­al Motors…) que celles qui sem­blaient réti­centes à partager des infor­ma­tions con­fi­den­tielles (la Défense ou l’Armée). Le développe­ment de ces plate­formes et de leur util­i­sa­tion mon­tre que l’utilisation des bug boun­ties devient aujourd’hui une pra­tique de plus en plus incon­tourn­able pour l’ensemble des organisations.

Une alter­na­tive au marché noir ?

De prime abord, on pour­rait penser que ce type de plate­forme détourne les hack­ers du traf­ic illicite sur le dark web. Pour un hack­er, il n’y aurait plus vrai­ment d’intérêt à ven­dre une faille sur le dark net quand il est pos­si­ble d’obtenir une prime en la repor­tant directe­ment – et légale­ment – à l’entreprise concernée.

La réal­ité s’avère plus com­plexe. Les bug boun­ties et le dark web per­durent en par­al­lèle sans que l’on observe beau­coup de passerelles entre les deux univers. Les moti­va­tions et les activ­ités des hack­ers sur les bug boun­ties et le dark web sem­blent être d’ailleurs rel­a­tive­ment dif­férentes. Sur le dark web, il ne s’agit pas de trou­ver une faille et de la cor­riger, il faut savoir pro­pos­er un « exploit », c’est à dire dévelop­per un out­il qui exploite la faille pour réalis­er des actions malveil­lantes, comme injecter des codes mali­cieux ou vol­er des don­nées con­fi­den­tielles. Au con­traire, les bug boun­ties offrent la pos­si­bil­ité à des hack­ers « éthiques » (les white hats) d’œuvrer pour la société à tra­vers une « bonne cause », mais aus­si de se for­mer et de devenir des experts en sécu­rité 2.

Des pro­grammes et des tâch­es très variées

D’apparence, la manière de gér­er un pro­gramme de bug boun­ty sem­ble assez stan­dard­is­ée. Mais en réal­ité, la recherche de bugs peut recou­vrir des tâch­es et des activ­ités de natures var­iées. Dans cer­tains cas, la recherche de failles peut s’apparenter à des « micro-tâch­es » 3 mobil­isant un faible niveau d’expertise et une activ­ité plutôt rou­tinière. Mais dans d’autres, le tra­vail est plus libre, et néces­site des com­pé­tences plus dévelop­pées, notam­ment lorsque l’objectif est d’explorer les sys­tèmes à la recherche de failles zero-day 4.

 C’est le cas, par exem­ple, du célèbre con­cours Pwn2Own qui vise prin­ci­pale­ment les nav­i­ga­teurs web, les machines virtuelles et les voitures con­nec­tées. Les hack­ers sont invités à pren­dre le con­trôle d’un sys­tème en com­bi­nant plusieurs attaques. La com­plex­ité de la tâche se reflète d’ailleurs dans la rémunéra­tion du tra­vail réal­isé. Plus la faille est cri­tique, com­plexe et bien doc­u­men­tée avec des recom­man­da­tions pour la solu­tion­ner, plus la récom­pense sera grande : Google offre ain­si 100 000 dol­lars à celui ou celle qui parvien­dra à démon­tr­er en direct une faille dans le « bac à sable » 5 de Chrome.

Plate­forme, école et agence de recrutement

Pour un jeune hack­er qui s’intéresse à la sécu­rité infor­ma­tique, le bug boun­ty est aus­si un excel­lent moyen de se for­mer sur le tas. La plate­forme lui per­met de tra­vailler sur de vrais sites et appli­ca­tions, et ce de manière légale. La com­mu­nauté des hack­ers, ain­si que la plate­forme elle-même, jouent un rôle impor­tant dans la dif­fu­sion et l’échange de con­nais­sances. La pub­li­ca­tion sur la plate­forme des rap­ports « exem­plaires », les ren­con­tres de hack­ers organ­isées, ou les for­ma­tions en ligne sont autant d’éléments qui favorisent ces échanges et l’apprentissage.

La plate­forme agit égale­ment comme une vit­rine pour les hack­ers, qui peu­vent démon­tr­er leurs tal­ents et ain­si se con­stru­ire un « CV » auprès des entre­pris­es. Cha­cun dis­pose d’un pro­fil qui présente des sta­tis­tiques, vis­i­bles par tous, sur ses expéri­ences passées et son niveau de per­for­mance. Divers­es règles d’incitation à la con­cur­rence sont mis­es en œuvre, telles que la remise de trophées, de badges ou la tenue d’un pal­marès des meilleurs hack­ers 6. Rien d’étonnant, donc, à ce que ces plate­formes ser­vent aus­si au recrute­ment de per­son­nes com­pé­tentes en cyber­sécu­rité par les entre­pris­es, qui sont sou­vent con­fron­tées à des pénuries struc­turelles sur le marché 7.

Pour les entre­pris­es, à plus long terme le bug boun­ty peut apporter des avan­tages encore plus sig­ni­fi­cat­ifs que de la sim­ple exter­nal­i­sa­tion de tra­vail en cyber­sécu­rité. La diver­sité des pro­fils des hack­ers et leur regard extérieur sont une valeur ajoutée con­sid­érable, mais l’entreprise doit être capa­ble d’assimiler rapi­de­ment les infor­ma­tions acquis­es pour cor­riger les failles, et en prof­iter pour faire mon­ter en com­pé­tence les équipes internes. L’objectif est de ne pas faire repos­er toute l’expertise tech­nique sur quelques per­son­nes extérieures à l’entreprise.

Par ailleurs, l’enjeu est aus­si de trou­ver une gram­maire com­mune entre le lan­gage de l’entreprise et la cul­ture par­ti­c­ulière des hack­ers pour que la col­lab­o­ra­tion soit la plus pro­duc­tive possible.

Pirates des temps mod­ernes ou cyber-experts de demain ?

Les bug boun­ties sont à la fois les fruits des out­ils numériques et le ter­reau per­me­t­tant la crois­sance d’une nou­velle forme de « hack­ing » qui par­ticipe à la con­struc­tion de la cyber-exper­tise de demain. Néan­moins, le développe­ment du phénomène pose un grand nom­bre d’enjeux organ­i­sa­tion­nels pour nos entre­pris­es qui ne sont pas encore habituées à tra­vailler avec « la foule », en par­ti­c­uli­er sur des ques­tions aus­si sen­si­bles que la sécu­rité. Ces plate­formes offrent d’importantes oppor­tu­nités d’apprentissages pour les hack­ers mais égale­ment pour les entre­pris­es, pour qui l’enjeu est de cap­i­talis­er sur ces échanges et de men­er à bien le trans­fert de con­nais­sances et de com­pé­tences en matière de cybersécurité.

1Malekos Smith, Z., Lostri, E. & Lewis J.A. (2020) « The Hid­den Costs of Cyber­crime », The Cen­ter for Strate­gic and Inter­na­tion­al Stud­ies (CSIS) & McAfee REPORT 2020
2Algar­ni, A., & Malaiya, Y. (2014). Soft­ware vul­ner­a­bil­i­ty mar­kets: Dis­cov­er­ers and buy­ers. Inter­na­tion­al Jour­nal of Com­put­er, Infor­ma­tion Sci­ence and Engi­neer­ing, 8(3), 71–81
3Sur le tra­vail de type « micro-tâch­es », voir: Pao­la Tubaro, Anto­nio Casil­li. Micro-work, arti­fi­cial intel­li­gence and the auto­mo­tive indus­try. Jour­nal of Indus­tri­al and Busi­ness Eco­nom­ics, Springer, 2019, pp.1–13
4Il s’agit d’une faille infor­ma­tique qui n’a jamais fait l’ob­jet d’un cor­rec­tif ou d’une pub­li­ca­tion con­nue. L’implication de ce type de faille est qu’il n’existe aucune pro­tec­tion, qu’elle soit pal­lia­tive ou défini­tive
5Le bac à sable (ou sand­box) est un mécan­isme qui a pour objec­tif d’exécuter une appli­ca­tion dans un envi­ron­nement fer­mé afin de pro­téger le sys­tème d’ex­ploita­tion d’une éventuelle con­t­a­m­i­na­tion
6Jo, A. (2021). Hack­ers’ self-selec­tion in crowd­sourced bug boun­ty pro­grams. Revue d’É­conomie Indus­trielle, Forth­com­ing
7Pour aller plus loin sur ce point voir le rap­port de l’ENISA « Cyber­se­cu­ri­ty skills devel­ope­ment in the EU » décem­bre 2019

Auteurs

Arrah-Marie Jo

Arrah-Marie Jo

enseignante-chercheuse en économie de la sécurité de l'information à IMT Atlantique

Les recherches d’Arrah-Marie Jo portent sur l’architecture des marchés de la cybersécurité et l’économie de la sécurité de l’information. Elle s’intéresse en particulier aux interactions entre les différents acteurs participant à la sécurité des systèmes et à leurs comportements. Arrah-Marie est titulaire d’un doctorat en économie de l’Institut Polytechnique de Paris (Télécom Paris) et chercheuse affiliée à la Chaire « Gouvernance et Régulation » de l’Université Paris Dauphine. Son expérience durant 4 ans en management des systèmes d’information dans des cabinets tels que Deloitte et CGI business consulting lui permet d’ajouter à son approche académique une connaissance plus opérationnelle du domaine.

David Massé

David Massé

co-responsable du groupe économie-gestion de Télécom Paris (IP Paris)

David Massé est chercheur à l’institut interdisciplinaire de l’innovation (i3-SES/CNRS) et docteur de l’École polytechnique. Il a travaillé pendant cinq ans comme chercheur au Strategic Innovation Lab d’Ubisoft. Ses travaux portent sur le management de l’innovation et en particulier : l’organisation des industries créatives, l’impact du numérique sur les processus d’innovation et les différents business models et logiques d’action de l’économie collaborative. Il est co-auteur du rapport PiCo qui analyse l’utilité sociale et environnementale des pratiques numériques collaboratives, les conditions de leur diffusion et les leviers d’action des pouvoirs publics. Il a publié plusieurs articles dans des revues comme Research Policy, la Revue française de gestion et International Journal of Arts Management. Il intervient comme expert auprès de nombreuses instances publiques et privées (Assemblée nationale, ministères, conseils généraux, chambres de commerce, syndicats et entreprises variées).