Un nouveau rapport suggère que l’activité des primes aux bogues est à l’épreuve de la récession

  • FrançaisFrançais


  • Brian Gorenc, directeur principal de la recherche sur la vulnérabilité et directeur du programme ZDI de Trend Micro, a déclaré qu’il avait observé une augmentation de l’activité de bounty de bogues en 2020.

    Un nouveau rapport de HackerOne présente des données suggérant que l’activité de prime aux bogues pourrait être à l’épreuve de la récession, citant une augmentation des enregistrements de pirates informatiques, des divulgations mensuelles de vulnérabilité et des paiements au milieu d’un ralentissement économique causé par la pandémie de coronavirus.

    Selon le rapport annuel sur la sécurité alimenté par les hackers, les nouvelles inscriptions sur la plate-forme de prime aux bogues HackerOne en avril, mai et juin 2020 ont représenté un bond de 69% par rapport à la même période en 2019 et une augmentation de 56% par rapport à janvier et février. 2020.

    De plus, d’avril à juin, la moyenne mensuelle des rapports de vulnérabilité entrants a augmenté de 28% en janvier et février et de 24% au cours de la même période en 2019. Et le nombre de versements de primes a également augmenté de 29% par rapport aux deux premiers mois de l’année.

    Une statistique particulièrement révélatrice pourrait aider à expliquer la tendance: 30% des 1400 dirigeants de la sécurité interrogés ont déclaré à HackerOne qu’ils étaient désormais plus ouverts à accepter les rapports de vulnérabilité de chercheurs tiers comme moyen de compenser les défis budgétaires et de personnel posés par COVID-19.

    Cela implique que les organisations pendant la crise actuelle du COVID-19 et la récession mondiale peuvent se trouver davantage dépendant de l’assistance externe de la communauté du piratage informatique afin d’augmenter leurs efforts internes pour atténuer le risque de vulnérabilité. Ceci, à son tour, a ouvert de nouvelles opportunités pour les chercheurs extérieurs.

    Certaines entreprises, comme Zoom, se sont en fait retrouvées criblées d’encore plus de divulgations de bogues que la normale, car la pandémie «leur a fait gagner rapidement en popularité auprès des utilisateurs et des pirates informatiques», a déclaré Katie Moussouris, fondatrice et PDG de Luta Security, une entreprise qui a a aidé les entreprises – Zoom inclus – à se préparer à la divulgation des vulnérabilités.

    Brian Gorenc, directeur principal de la recherche sur la vulnérabilité et directeur du programme Zero Day Initiative (ZDI) de Trend Micro, a déclaré à SC Media qu’il avait également constaté une tendance à la hausse de l’activité des primes de bogues. En 2019, ZDI a publié 1045 avis de vulnérabilité au cours d’une année entière. Cette année, ZDI a déjà dépassé ces chiffres avec 1235.

    «Et ce n’est pas seulement des personnes familiarisées avec ZDI. Nous constatons également une augmentation du nombre de nouveaux participants à notre programme », a déclaré Gorenc. «Nous sommes sur la bonne voie pour notre année la plus chargée jamais. Les chercheurs – nouveaux et expérimentés – ont de nombreuses possibilités de trouver et de signaler des bogues. »

    Et bien qu’il y ait encore une demande relativement élevée de talents en sécurité dans la main-d’œuvre, il convient de noter que 30% des responsables de la sécurité interrogés par HackerOne cet été ont déclaré avoir dû réduire leurs équipes de sécurité en raison de la pandémie.

    Dans cet esprit, les professionnels de la sécurité et les chercheurs qui ont perdu leur emploi en entreprise pendant ces périodes économiques difficiles pourraient peut-être envisager la chasse aux primes d’insectes comme une source potentielle de revenus pour subvenir à leurs besoins jusqu’à ce que la bonne opportunité se présente à nouveau.

    D’ailleurs, Gorenc a déclaré que même les chercheurs en sécurité à plein temps qui sont encore des employés rémunérés pourraient participer à l’action, car les conditions de travail à domicile «leur donnent plus de temps et la possibilité de trouver et de signaler les bogues. Même si leur principale source de revenus n’a pas été affectée, le revenu supplémentaire est toujours le bienvenu. »

    Les chasseurs d’insectes voient l’opportunité

    HackerOne a connecté SC Media à une paire de chasseurs de primes de bogues indépendants qui ont également affirmé que les opportunités continuaient à proliférer.

    Jon Colston, un chercheur prolifique en vulnérabilité qui a accumulé plus d’un million de dollars de primes de bogues via HackerOne, a déclaré que son travail passé dans le secteur du crédit à la consommation était en fait beaucoup plus imprévisible, en raison d’une multitude de facteurs externes tels que «la réglementation, la demande saisonnière, conditions et marchés de liquidité. »

    Dans son ancienne industrie, si l’une de ces variables changeait, «suivait la dotation en personnel. C’était une grande équation mathématique où un titre dans les journaux indiquerait comment les six prochains mois se sont probablement déroulés », a déclaré Colston, qui utilise le pseudonyme de pirate informatique« Mayonaise »et a découvert plus de 170 vulnérabilités dans les entreprises et les organisations gouvernementales.

    En comparaison, «l’industrie de la cybersécurité semble être beaucoup moins volatile», a déclaré Colston. «Au début de la pandémie, je craignais que les entreprises se replient sur une position défensive, protégeant les employés en éliminant le budget de tous les postes contractuels et des programmes VDP. Étonnamment, j’ai été témoin du contraire. Les entreprises ont modifié les paiements pour inciter les chercheurs à se concentrer sur les bogues à plus fort impact, une décision qui reflétait la menace croissante des mauvais acteurs profitant du verrouillage. »

    Le hacker Tanner Emek, qui utilise le handle @ cache-money et a signalé 374 bugs via HackerOne au cours de sa vie, a remarqué qu’au début de la pandémie, une poignée de programmes diminuait certains paiements de primes. Mais ils «ne l’ont fait que pour les bogues de gravité faible et moyenne, et soit ont laissé les paiements élevés et critiques les mêmes, soit même les ont augmentés», a-t-il déclaré.

    Dans l’ensemble, cependant, «la grande majorité des programmes ont laissé leurs tableaux de primes intacts et ont continué leurs opérations normales tout en ayant encore des bonus occasionnels», a poursuivi Emek. «Je pense que la réaction à cela reflète l’importance pour les entreprises de la sécurité aujourd’hui. Ils se rendent compte que la sécurité n’est pas le lieu idéal pour réduire les coûts, car cela peut finir par causer beaucoup plus de dégâts à long terme. »

    «J’ai vu de nombreux nouveaux hackers s’impliquer récemment. Avec autant d’entreprises à pirater, les bogues ne manquent pas », a ajouté Emek. L’un des avantages du bug bounty est qu’il est accessible à tous, pas seulement aux professionnels de la sécurité. Avec les ressources éducatives gratuites disponibles, Emek prédit que de nombreux nouveaux hackers issus de milieux non traditionnels plongent leurs orteils sur le terrain.

    Pourtant, les experts soulignent qu’il n’est pas facile de vivre une chasse aux insectes.

    Katie Moussouris, Luta Security.

    «La grande majorité des chasseurs de primes aux insectes dans les pays occidentaux ne peuvent pas gagner un revenu décent», a déclaré Moussouris. Les propres données de HackerOne année après année démontrent ce point, a-t-elle noté: sur plus de 830 000 hackers enregistrés, seulement 9 000 environ ont gagné quelque chose sur HackerOne. «De plus, la majorité des programmes de primes aux bogues sur HackerOne sont privés, de sorte que la plupart des pirates ne seront même pas invités à tenter de gagner de l’argent grâce à ces programmes.»

    Gorenc était un peu plus optimiste: «Il est possible d’être un chasseur de bogues à plein temps, mais c’est rare», dit-il. «Il faut beaucoup de temps et de dévouement pour aller de pair avec un large éventail de compétences et, surtout, un bon état d’esprit pour vivre de la chasse aux insectes. La plupart des personnes qui signalent des bogues dans les programmes de primes considèrent cela comme une activité secondaire. »

    Moussouris, qui a aidé le département américain de la Défense à lancer le premier programme gouvernemental de primes aux bogues, «Hack the Pentagon», a également lancé un avertissement aux organisations: les programmes de primes aux bogues ne devraient jamais être traités comme un remplacement total de l’expertise de sécurité interne, même avec la récession a entraîné diverses coupes budgétaires et de personnel.

    «Nous constatons que les programmes de primes de bogues et les VDP [vulnerability disclosure programs] les plus résistants pendant la pandémie sont ceux qui ont investi le plus en interne dans les personnes, les processus et la technologie de la sécurité », a-t-elle fait remarquer. «Aujourd’hui plus que jamais, les primes de bogues devraient être complémentaires de vos autres vérifications préalables en matière de sécurité, jamais un remplacement.

    «En tant qu’ancien testeur d’intrusion et créateur de plusieurs des premiers et des plus grands programmes de bug bounty au monde … je peux dire qu’aucune somme d’argent jetée à un programme de bug bounty ou à un test de pénétration ne sera plus efficace que de renforcer la sécurité depuis le sol vers le haut. »

    Source

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *