Bug bounty: être payé pour identifier des failles informatiques

Vous aimez l’informatique? Vous avez l’âme d’un hacker? Pourquoi ne pas être payé pour trouver des bugs sur des sites internet? Oui, oui vous avez bien lu, vous êtes payés pour hacker des sites internet et le pire c’est que vous êtes payé par le site lui même! Dans cet article on va voir comment gagner de l’argent en devenant bug bounty.  

Mais avant c’est quoi exactement un bug bounty?

Bug bounty qu’est-ce que c’est?

Bug Bounty (à ne pas confondre avec la barre chocolatée 🙂 ) appelé en français chasse au bugs est une pratique qui a vu le jour dans les années 1990 avec l’avènement d’internet, en 1995 Netscape à promis une récompense à qui qu’on que trouveraient  un problème de sécurité, Mozilla le navigateur web dans les année 2000 a également fait de même proposant 500€ à tous ceux qui trouvaient une faille de sécurité sur le navigateur web. Depuis les années 2010 les plus grosses entreprises du web ont recours au service de bug bounty.

Le bug bounty est là pour détecter des bugs ou des problèmes de sécurités sur des sites en contrepartie il est rémunéré pour cela. Très simplement vous êtes payé pour hacker des sites, le rêve non?   

Bien évidemment cela demande d’avoir des compétences en informatique poussées. Mais j’y vois 2 gros avantages pour un informaticien c’est un bon moyen de se faire la main sur des sites déjà très bien sécurisé et le tout légalement, tout en étant payé. Vous améliorez vos compétences et vous êtes payé.  

Pourquoi les entreprises payent pour chercher des bugs sur leur site? 

Pourquoi les entreprises payent pour chercher des bugs sur leur site? 

Pour les sites et entreprises en question cela permet de sécuriser toujours plus la plateforme et qui de mieux que des hackeurs en herbe pour trouver des bugs?! De plus elles sécurisent leur site pour beaucoup moins cher que si elles passaient par une entreprise de sécurité. Une entreprise qui fait du pentesting (analyse de sécurité) va effectuer un rapport détaillé à un instant T, mais si la société souhaite prendre les services de la société de cybersécurité régulièrement ça va coûter très cher à la société. En lançant un programme de bug bounty la société va faire contrôler son site plus régulièrement (24h sur 24h) pas des centaines de personnes différentes, le tout pour beaucoup moins cher.

Les entreprises s’évitent également que des hackers mal intentionné piratent leur site pour exiger une rançon. La cybersécurité est un enjeu primordial pour bons nombres de sociétés en ligne, avec les données sensibles que gèrent certains sites les sites doivent toujours être à la pointe de la sécurité informatique. 

Combien peut-on gagner en devenant bug bounty?

Certains bug bounty peuvent gagner gros! En 2014 les chercheurs de la société Detectify ont découvert une faille sur le site de Google, ils ont touchés 10 000$ de récompense. 

En 2015 Mark Litchfield a gagné 24 000 dollars en identifiants des failles de sécurité sur le moteur de recherche Yahoo! Au total Mark dit qu’il a gagné au total plus de 300 000$ en détectant des bugs.

Santiago Lopez, un argentin de seulement 19 ans à découvert plus de 1670 failles de sécurité pour un montant total de récompense de 1 million de dollars

Difficile de dire combien vous pouvez gagner, cela dépend de la faille, plus la faille est importante et rare, plus vous allez être rémunéré. Toutefois les sites qui proposent un programme de bug bounty proposent au préalable ses propres rémunérations, cela peut aller de quelques centaines d’euros à quelques dizaine de milliers d’euros. Il est important de bien respecter les règles de chaque programme de bug bounty pour valider sa rémunération.  

Voici par exemple le programme de bug bounty de Google:

bug-bounty-google

Il faut aussi être réactif en tant que chasseur de bug, si vous répertoriez un bug qui a déjà été répertorié par une autre chasseur de bug, vous ne serez pas payé.   

Ou trouver les programmes de bug bounty? Quels entreprises font appellent aux bugs bounty?

Certaines plateformes en ligne regroupent les programmes de Bug Bounty, je pense notamment à Yeswehack.com, firebounty.com ou hackerone.com. Yeswehach est une plateforme qui a le vent en poupe car elle a levé plus de 4 millions d’euros en début 2019. 

Sur ces plateformes vous avez l’ensemble des programmes référencés. Vous avez un note de mission et surtout vous avez la rémunération, vous pourrez alors choisir ou non de participer au programme, vous pouvez même filtrer les programmes par rémunération et ainsi vous attaquer aux sites qui rémunèrent bien. 

Sans surprise ce sont les entreprises du secteur high-tech comme Tesla Motors, Facebook, Microsoft, Google, Yahoo qui recherchent régulièrement des chasseurs de bugs. Mais de plus en plus les grosses sociétés recherchent elles aussi ce type de prestation, des sociétés comme la compagnie aérienne United Airlines, ou Western Union. Google a son programme programme de bug bounty appelé Google Vulnerability Reward Program (VRP). En 2018 Google a récompensé plus de 317 personnes pour un montant de 3,4 millions de dollars. 

Une question sur le bug bounty? Réagissez dans les commentaires.

LAISSER UN COMMENTAIRE

Veuillez entrer votre commentaire!
Please enter your name here Veuillez saisir votre nom ici