Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le BugBounty pour un renforcement de la sécurité des applications

novembre 2017 par Marc Jacob

Denyall et Bounty Factory ont organisé une conférence pour présenter les résultats de leur partenariat en matière de Bugbounty. Pour Denyall, le Bugbounty est une méthode très intéressante pour découvrir les vulnérabilités dans ses solutions de sécurité et ainsi renforcer leur sécurité et de fait leur qualité.

Korben et Guillaume Rix

En préambule, Korben un des co-fondateurs de Bounty Factory a dressé un rapide historique du Bugbounty. Dans le passé les vulnérabilités étaient remontées par différents canaux. La forme la plus légale passait par les CERT. En parallèle, il a cité le Full Disclosure. Dans ce cas, la société impactée avait un temps limité pour résoudre le Problème et proposer un patch. Une autre méthode de divulgation d’une vulnérabilité consiste à la prise de contact directe par la personne qui a trouvé la faille. En parallèle, Korben a cité les concours lors d’événements. Durant cette période, le monde de l’Open Source a décidé de lancer un Bug Bounty sur son navigateur Nestscape en 1995.Puis en 2004 Mozilla a lancé le sien. Par la suite les GAFA ont lancé leur propre Bug Bounty. Puis progressivement le Bug Bounty s’est démocratisé a de grandes entreprises et des startups voir jusqu’à l’armée américaine qui a lancé le sien pour mieux sécurisé ses sites. Ainsi Bounty Factory a été créé en 2013. Elle organise des bugbounty public et privé. Ainsi, Denyall a fait appel aux services de Bounty Factory dans le but de renforcer la sécurité de son WAF.

Guillaume Vassault-Houliére, un des co-fondateurs de Bounty Factory explique que le Bugbounty travaille avec des pirates Éthiques. Le Bugbounty est en fait un complément à moindre coût des audits de sécurité. En fait, un audit de sécurité nécessite un budget important, l’appel au service de deux à quatre experts qui vont travailler dans un temps limité. En revanche le Bugbounty permet de travailler avec beaucoup plus d’experts qui vont être rémunérés à la vulnérabilité découverte. Les experts souvent travaillent pour se faire reconnaître et non pour gagner de l’argent. Pour gérer une plateforme de Bugbounty il faut valider des participants, aujourd’hui Bounty Factory regroupe une communauté de 3000 experts. Le bugbounty peut être privé et donc limité à quelques experts ou public en faisant appel à l’ensemble de la plateforme. Pour l’entreprise cliente, il faut avoir une capacité à corriger rapidement les vulnérabilités trouvées, mais aussi à communiquer. Le bugbounty offre un système de rémunération par point pour les chercheurs ce qui permet à ces derniers d’être rémunérés mais aussi d’être sélectionnés lors de bugbounty privé. Pour lui, la plus part des failles trouvées ont permis de découvrir des vols de données. Selon Guillaume Vassault-Houliére, le RGPD booste le Bugbounty ainsi de plus en plus de banques et toute entreprises qui gèrent de données à caractère personnel font appel à ce mode de découverte de vulnérabilités. Selon Guillaume un bugbounty n’a pas de limite de temps et l’intérêt est qu’il ne coûte que lorsqu’une vulnérabilité est découverte.

Le Bugbounty vu par Denyall

Guillaume Rix Manager avant-vente et services de DenyAll était convaincu que le Bug Bounty pouvait être une solution pour renforcer la sécurité des Web Application Firewall s (WAFs) de son entreprise. Au début, il a du faire de l’évangélisation auprès de sa direction pour les rassurer sur l’intérêt de cette méthode pour trouver des vulnérabilités. Il a rappelé qu’en 2014 sa société a acquis BeeWare et a dû fusionner les deux moteurs de WAF. Après avoir convaincu sa direction, il a choisi la Nuit du Hack pour faire une première expérience avec pour objectif de renforcer la sécurité du WAF unifié. Pour lui, procéder à un Bug Bounty n’est pas plus risqué qu’à l’habitude. Quant au coût, DenyAll avait doté ce premier Bug Bounty d’un montant de 5 000€. La première fois lors de la fusion des deux technologies, DenyAll a décidé de chaîner les deux technologies et de les éprouver.

Une seule application a été testée : Damn Vulnerable Web Application (DVWA). 4 scénarios ont été mis en place lors de la Nuit du Hack. Dans un premier temps un seul moteur basique a été testé entre 12h00 et 16h00 en mettant un très faible enjeu. Le deuxième palier de 16h à 20h avait un niveau de sécurité plus élevé mais toujours pas vraiment rémunérateur. À partir du 3eme palier les rémunérations étaient plus élevées avec une prime de 500€. Enfin le quatrième palier qui s’est déroulé entre minuit et 6h du matin était beaucoup plus rémunérateur. En fait, la totalité du budget des 5 000€ a été consommé lors de cette nuit du Hack. 200 challengers ont travaillé sur ce Bug Bounty. Au final au premier palier 40 vulnérabilités ont été découvertes et encore 5 vulnérabilités au palier 4 le plus sécurisé. Lors de cette nuit du Hack cinq personnes de DenyAll étaient présentes. Par la suite DenyAll a communiqué et mis à jours son WAF. Cette première participation à la Nuit du Hack a été selon Guillaume Rix très productive. En autre, il a été très intéressant de se confronter à de véritables attaques, de partager des techniques propriétaires. Il a apprécié la proximité avec les challengers et l’accompagnement de Bounty Factory. Pour lui, l’expérience a été bénéfique sur tous les points avec des retombées médiatique intéressantes.

Deux ans après Denyall a renouvelé cette expérience en testant la protection de 4 applications par son WAF : DVWA, DVWS, Hackazon Web site et Hackazon API. Cette fois, il n’y avait plus palier avec une rémunération immédiate. DenyAll a mis sur ces applications des politiques de sécurité par défaut. Les chercheurs peuvent gagner aussi une formation par des experts de Bounty Factory. Cette fois ci il y a eu près de 600 000 requêtes. En termes de vulnérabilités, une vulnérabilité par heure a été découverte. Au final 17 vulnérabilités ont été payées.

Pour ce nouveau Bug Bounty, 9 personnes de DenyAll étaient présentes sur place lors de la Nuit du Hack avec en plus l’aide de l’équipe de Bounty Factory pour la reproduction et la qualification. Suite à ce nouveau challenge le WAF a été patché, la politique de sécurité par défaut a été améliorée.

Actuellement, DenyAll se pose la question de faire un Bug Bounty seulement lors des nuits du Hack... ou de façon permanente, sur l’ensemble des produits.




Voir les articles précédents

    

Voir les articles suivants