BountyFactory : que penser des centrales de chasse aux failles de sécurité ? #FIC2016

Lors du #FIC2016, j'ai eu la chance d'interviewer Korben et Guillaume Vassault-Houlière - les deux instigateurs de la BountyFactory. En complément des explications et réponses qu'ils ont pu apporter sur leur initiative, je vous propose quelques réflexions et idées autour du business des bug-bounties.

Que faut-il penser de l'arrivée de la BountyFactory sur le marché Européen le 20 Janvier 2016 ? Est-ce une solution magique à l'absence de sécurisation ambiante ? L’apparition de plateformes d’organisation de Bug Bounties va-t-elle changer le paysage de la sécurité tel que nous le connaissons ?

Pourquoi le Bug Bounty

Un programme de Bug Bounty permet à une organisation de tester la sécurité de ses systèmes en offrant en retour diverses récompenses - financières ou autres. Un bug Bounty, c'est la possibilité d'accéder à des compétences rares, d'inscrire les tests dans la durée et non plus sur une fenêtre de temps courte, mais c'est surtout la possibilité de changer la donne d'un point de vue financier car avec un Bug Bounty on ne paye qu'aux résultats et non plus au temps passé.

De grandes entreprises organisent elles-mêmes leur programmes de bug Bounty, d'autres préfèrent passer via des plateformes spécialisées, comme notamment la BountyFactory, qui vont se charger d'organiser cela à leur place.

Un Bug Bounty doit être attrayant

Se lancer dans un programme de Bug Bounty implique d'y mettre des moyens. Il ne faut pas penser que cela va permettre de drastiquement réduire les coûts associés aux "tests de pénétration". Il est nécessaire que les "prix à gagner" soient attrayants. L’objectif : retenir l'attention des experts les plus expérimentés.

J'aurais tendance à dire que le budget de "pentest" doit être maintenu à son niveau. A budget identique, un programme de bug Bounty doit permettre de "faire plus et mieux", car au lieu d'être facturé au temps passé (x/y jours de consultant en pentest) on va payer au résultat. Avec le bug Bounty, identifier une faille d’injection SQL pourra être d’un coût unitaire de 2000€ en lieu et place d'un pentest de 5 jours coutant 6000€ - L’un et l’autre débouchant peu ou prou sur le même résultat.

Du poil à gratter et une pression permanente

Pour un RSSI, les programmes de bug Bounty devraient être du poil à gratter de très bonne qualité (et à un cout particulièrement agressif). Le poil à gratter pourra être mis dans le cou des directions métiers qui seraient encore dans le déni face à la menace, ou qui prendraient avec légèreté les actions de sécurisation.

Et oui, car s’il est encore fréquent qu'un audit de sécurité ne soulève pas les foules, un test de pénétration exhibant des données sensibles est tout autrement plus convaincant. L'autre atout des programmes de Bug Bounty c'est qu'ils peuvent se dérouler sur une longue période. La "pression positive" et la vigilance de l'organisation ciblée n'en seront que meilleurs. Si la pratique est occasionnelle, alors le programme de bug Bounty pourra servir d’exercice d'entrainement périodique aux équipes de sécurité.

La sécurité des plateformes de bug Bounty

Une plateforme organisant des Bug Bounty se doit d'être particulièrement sécurisée, surtout si elle stocke des données ou résultats des challenges – privés ou publics. Le niveau de sécurité de la plateforme et des personnes qui en ont la charge sont donc des éléments particulièrement importants dans le choix de la plateforme de Bug Bounty. Evidemment, une entreprise dont le business est d’organiser des bug Bounties devrait savoir sécuriser sa plateforme. Reste à l’expliquer et à le démontrer à ses prospects et clients.

Les "acteurs classiques" dans le domaine des prestations de pentest (SSII, indépendants, etc…) pourront gagner à se faire certifier PASSI afin de se différencier. Ensuite, une plateforme de Bug Bounty pourrait peut-être elle aussi se faire certifier PASSI, évidemment, si cela est « envisageable » et « compatible » (si vous avez un avis sur la question, dites-le nous).

Quel niveau de contrôle sur les participants à un Bug Bounty

Le côté humain. Car même si une plateforme de Bug Bounty est géographiquement localisée sur le territoire Européen, quelles garanties propose-t-elle sur le choix des personnes qui pourront se lancer dans le concours ? Sera-t-il possible de limiter la participation uniquement à des ressortissants de l'Union Européenne, voire Française ?

Dans tous les cas, quelles seront les possibilités de la plateforme de Bug Bounty pour s'assurer que l'une des personnes participants ne fait pas "fuiter des infos" alors que celle-ci se trouve dans un "lointain" pays Européen ou encore sur un autre continent ? Encore ici, les sociétés ayant « pignon sur rue » auront un petit atout de leur côté.

Une fin annoncée des "pentest" par des SSI spécialisées ?

Clairement, je pense que les sociétés spécialisées dans le pentest n'ont pas trop de soucis à se faire si elles savent mettre en avant leurs atouts et leurs différences. La capacité de démontrer le niveau de sécurité de leurs prestations et de maitriser le niveau de confiance des personnes impliquées étant des éléments clefs.

La proximité avec leur client, et surtout leur capacité à contextualiser une faille technique au sein des activités et de l'organisation de leur client est particulièrement importante : avoir trouvé une faille SQL sur un site web c'est bien, identifier la cause profonde de la présence de cette faille et proposer un diagnostic cohérent et pragmatique est autre chose. La qualité du reporting des failles identifiées aux décideurs est aussi importante, afin que les failles soient comprises et les plans d'actions et moyens correspondants bien décidés.

Sur le court terme, les plateformes de Bug Bounty viendront remplir un "vide existant" en démocratisant des pratiques jusqu'alors utilisées surtout par de grandes organisations. Les sociétés de service spécialisées doivent réagir, sans attendre, à l’apparition de ces plateformes de BugBounty.

Attendons de voir les effets sur le long terme

Les plateformes de Bug Bounty ne sont pas nouvelles (tout particulièrement aux Etats-Unis) mais ce n'est pas pour cela que les Etats-Unis sont clairement moins impactés par des incidents de sécurité ces dernières années (cf. Ashley Madison, etc.). Oui, les plateformes de Bug Bounty vont permettre de faire avancer le sujet et améliorer la sécurité, mais pas si elles ne provoqueront pas un « saut quantique » à faire pâlir de jalousie l'ANSSI ou le BSI Allemand.

Faut-il se jeter sur les plateformes de Bug Bounty ? Non, avant cela, il y a l'hygiène de base : segmentation des infrastructures et systèmes, authentification, suivi et correctifs de sécurité, etc...  Ensuite viendront le pentest et les programmes de Bug Bounty. La stratégie de "l'enfonceur de portes ouvertes" n'est pas la bonne en sécurité. Il reste que le pentest c’est fun et permet de « frapper les esprits » de personnes ou décideurs ne comprenant pas (ou ne voulant pas comprendre). Les plateformes comme la BountyFactory devraient donc avoir de beaux jours devant elles.

Qu'en conclure ?

La BountyFactory devrait faire bousculer un peu le business des tests de pénétration en France. Mais elle a surtout le mérite de proposer aux organisations et entreprises un nouvel outil leur permettant de redynamiser un plan d’actions sécurité un peu faiblard ou tout simplement d’augmenter leur niveau de sécurité via une approche plus « offensive ».  Dans tous les cas, cela remet au cœur du sujet l'expertise des personnes et leur passion pour la sécurité de l'information et c’est très bien ainsi. « Longue et belle vie à la BountyFactory ! »

Commentaires et réactions sont évidemment bienvenus.

Jean-François (aka Jeff) Audenard
 

Pour aller plus loin

FIC2016 : Revivez les meilleurs moments

Le prof Audenard couvre le FIC2016

Orange Cyberdefense protège vos essentiels