Les ‘bug bounty programs’ constituent une façon pratique de faire appel à des pirates en vue de découvrir des bogues et autres problèmes de sécurité. Mais ce type d’approche n’est pas la panacée universelle, selon certains spécialistes de la sécurité.
Des entreprises telles Google et Facebook paient des hackers en vue de dénicher pendant leur temps libre des problèmes de sécurité. Les entreprises peuvent ainsi compter sur des surveillants supplémentaires, alors que pour les pirates éthiques, surtout des étudiants, il s’agit souvent d’une rentrée d’argent complémentaire. Le problème, c’est que cela ne suffit pas.
“Les entreprises sont aux prises avec ce qu’on appelle la ‘bug bounty fatigue’, lorsque ces hackers découvrent de nombreux problèmes de manière à la fois simple et rapide, mais ils ne poussent pas leurs recherches plus avant sur des problèmes sophistiqués qui nécessitent des journées et des nuits de travail”, déclare-t-on à The Register du côté de l’entreprise de sécurité High-Tech Bridge.
Le raisonnement de High-Tech Bridge peut se défendre, étant donné que la plupart des pirates éthiques recherchent souvent les failles durant leurs loisirs et ne peuvent donc pas y consacrer des journées entières. Une fois qu’ils sont professionnellement actifs dans le secteur IT, l’argent qu’ils peuvent ainsi gagner, en général de cent à quelques centaines de dollars en fonction du bug découvert, les intéresse en outre moins.
Il nous faut cependant apporter ici la nuance, selon laquelle l’entreprise en question propose elle-même un service d’audit en sécurité qui, à l’entendre, recherche des problèmes malaisément décelables, alors que la recherche de ce qu’elle appelle le ‘fruit à portée de main’ peut, elle, être automatisée.
En Belgique, l’on prépare actuellement un cadre légal en matière de piratage éthique. En attendant, l’école supérieure Howest a déjà mis en oeuvre le hackmysite, une initiative permettant à des entreprises de se faire pirater par des étudiants en vue de découvrir des brèches dans leur infrastructure.
Relisez à cet égard notre ‘longread’ consacré au piratage éthique en Belgique.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici