Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les raisons de la montée en puissance du Bug Bounty par Veracode

janvier 2019 par Veracode

L’Union européenne a annoncé le lancement d’une campagne « Bug Bounty » pour le mois de janvier 2019. L’objectif de cette opération est clair : encourager les amateurs de cyber sécurité à corriger les failles de sécurité avant leur exploitation par un utilisateur malveillant, le tout afin de renforcer la sécurité des outils Open Source.

Veracode s’est intéressé à l’intérêt croissant suscité par les programmes Bug Bounty. Ces derniers permettent à tout individu de percevoir une compensation financière après report d’un bug portant atteinte à la sécurité informatique d’une application ou d’un logiciel. Depuis son tout premier lancement en 1995, le programme Bug Bounty n’a cessé de gagner en attractivité, à tel point que des géants du web tels que Facebook, Google et Yahoo en sont aujourd’hui équipés.

Paul Farrington, Directeur de l’architecture des solutions en Europe, Asie Pacifique et Japon chez Veracode, décrit les raisons de cette montée en puissance et s’exprime sur l’implantation prévue des programmes Bug Bounty par l’Union européenne :

« La popularité des programmes Bug Bounty a explosé. Les entreprises doivent en effet développer de nouvelles méthodes permettant aux hackers éthiques de déceler des vulnérabilités de manière responsable. Depuis trop longtemps, les chercheurs en matière de sécurité risquent des pénalités pour leurs bonnes intentions, puisqu’ils rapportent des failles potentielles aux éditeurs de logiciel. Dans un environnement Open Source, l’idée fausse selon laquelle quelqu’un d’autre au sein de la communauté chercherait des défauts de sécurité est pourtant très répandue. En pratique, les logiciels Open Source ne sont pas plus sûrs que les logiciels propriétaires. Nous avons ainsi découvert que 87,5 % des applications Java contenaient au moins une bibliothèque open source comportant des failles.

Le traitement par l’Union européenne de l’état de la sécurité des logiciels Open Source est positif. Les programmes Bug Bounty sont également un signe de progrès, même s’ils sont le dernier maillon d’une longue chaîne. La détection des failles dans leur grande majorité ne peut s’appuyer exclusivement sur une armée d’individus qui fera ce que des machines font mieux. Certains des projets visés par les expérimentations de l’UE s’appuient aujourd’hui sur d’autres projets Open Source dont on connait déjà les vulnérabilités qui leur sont associées. Une simple analyse de la composition des logiciels issus de ces projets serait à même de révéler l’usage de bibliothèques risquées. Certes, nous avons besoin d’êtres humains afin de détecter des failles que les ordinateurs peinent aujourd’hui à identifier. Cela étant dit, il y aurait beaucoup à faire dans l’amélioration générale de l’hygiène du logiciel et de son développement, en ayant notamment recours à l’automatisation moderne des scans ».




Voir les articles précédents

    

Voir les articles suivants