Pour de nombreuses entreprises, les programmes de bug bounty restent une manière très efficace d’attirer les meilleurs profils aux quatre coins du monde.
Le principe est simple, et a été parfaitement résumé par la commission d’enrichissement de la langue française lors de la francisation du terme en 2020. Ainsi, une « prime à la faille détectée » est un programme où les sociétés rémunèrent les experts informatiques indépendants « qui découvrent une faille de sécurité au sein d’un système informatique utilisé par cette organisation ».
Sans surprise, les plus grandes entreprises américaines sont aussi celles qui distribuent les plus gros chèques, et Microsoft ne fait pas exception à la règle, comme nous le rappelle Tom Gallagher, vice-président en charge de l’ingénierie au Microsoft Security Response Center (MSRC) : « Microsoft investit dans les programmes de Bug Bounty depuis 2013 (…). L’an dernier, nous avons versé 17 millions de dollars dans le cadre de notre programme de primes. »
Présent dans l’entreprise depuis 1999, Tom Gallagher a pris le temps de revenir, pour Numerama, sur le rôle central de ces programmes dans la sécurité du géant américain, tout en offrant un aperçu de la stratégie future de l’entreprise en matière de sécurité et de bug bounty.
Désormais, Microsoft semble vouloir aller encore plus loin dans la détection des vulnérabilités, quitte à élargir le champ des primes proposées aux chasseurs de failles. Une nouvelle approche qui part d’un constat simple : « Quand on prend un peu de recul et qu’on se demande comment un acteur malveillant voit notre système… il ne réfléchit pas en termes de périmètre. Il le considère dans sa globalité. »
Des primes même si le code ne provient pas de Microsoft
Tom Gallagher nous explique que cette nouvelle approche se veut davantage en phase avec « la façon dont les systèmes modernes sont développés : ils intègrent de nombreuses pièces de code différentes ».
Concrètement, cela passe par une nouvelle manière d’appréhender les signalements de vulnérabilités et par l’envie de pousser les chercheurs à fouiner au‑delà du seul code produit par les équipes de Microsoft.
« Avant, nous identifions la cause racine, et si le code avait été écrit par Microsoft, alors la prime s’appliquait. En revanche, si cela provenait d’un composant open source ou tiers, nous disions : ‘ce n’est pas une vulnérabilité dans notre code’ (…). Désormais, si une vulnérabilité affecte un service Microsoft, nous la prenons en compte, peu importe qui a écrit le code. »
Dans la foulée, Tom Gallagher précise que les failles découvertes par les chercheurs seront désormais éligibles à une prime par défaut, même si le produit concerné, comme Copilot, Microsoft 365 ou Outlook, ne fait pas explicitement l’objet d’un programme de bug bounty.
Cet élargissement s’applique aussi au code des SDK proposés par Microsoft. Pour rappel, un SDK (pour software development kit) regroupe les bibliothèques et outils fournis par Microsoft pour développer des applications sur ses plateformes, comme Windows ou .NET.
De nouveaux profils de chasseurs
L’entretien a aussi été l’occasion d’évoquer un autre aspect marquant de l’évolution du bug bounty : le changement de profil des personnes qui se lancent dans cette quête de vulnérabilités.
« Aujourd’hui, avec l’essor de l’IA, de nouvelles portes s’ouvrent : on n’a plus forcément besoin d’être un ingénieur très technique pour trouver certains types de vulnérabilités. Et c’est vraiment enthousiasmant », admet ainsi Tom Gallagher.
Si les programmes de bug bounty attirent désormais une grande variété de profils, certains restent hors du commun et bénéficient d’une attention toute particulière de la part de Microsoft : « Récemment, nous avons organisé un événement sur le campus Microsoft appelé Zero Day Quest, où nous avons invité les meilleurs chercheurs en sécurité du monde, spécialisés dans les services en ligne et l’IA. Certains étaient tellement jeunes qu’il a fallu financer le déplacement d’un parent, car ils étaient trop jeunes pour voyager seuls. »
Reste à espérer que ces jeunes cracks continueront à mettre leurs talents au service de la sécurisation de l’écosystème. L’élargissement des primes apparaît, en tout cas, comme une première étape intéressante pour s’assurer que le bug bounty reste une discipline qui vaut vraiment le coup pour celles et ceux qui s’y investissent.
Les abonnés Numerama+ offrent les ressources nécessaires à la production d’une information de qualité et permettent à Numerama de rester gratuit.
Zéro publicité, fonctions avancées de lecture, articles résumés par l’I.A, contenus exclusifs et plus encore. Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !