Les primes aux bugs permettent aux personnes qui découvrent des failles de sécurité dans les logiciels et services informatiques d’être récompensées par de l’argent. Que faut-il faire pour être chasseur de primes de bogues et peut-on gagner sa vie en le faisant ?
Que sont les programmes de primes aux bugs ?
Les logiciels et les services que nous utilisons tous les jours sont écrits par des êtres humains, souvent sous pression pour que leur code soit opérationnel et que l’entreprise puisse gagner de l’argent. Bien que les méthodes modernes de développement de logiciels permettent d’obtenir des logiciels présentant remarquablement peu de problèmes graves, il est impossible pour un petit groupe de développeurs de prévoir toutes les possibilités ou de voir toutes les erreurs.
Si l’on compare cette situation à celle de l’armée de pirates informatiques qui cherchent la moindre faille dans l’armure de ce code, on comprend pourquoi les programmes de primes aux bugs sont nécessaires. Ces programmes offrent une récompense aux personnes qui découvrent une vulnérabilité crédible ou un autre type de problème qualifiable dans les applications et services fournis.
Qui peut prétendre à une prime de bogue ?
En principe, peu importe qui découvre une vulnérabilité ou un exploit. Ce qui importe, c’est que l’entreprise en soit informée et qu’elle corrige le problème avant qu’il n’entraîne de réels dommages. Dans la pratique, les primes aux bugs sont le plus souvent réclamées par des chercheurs professionnels en sécurité. Il s’agit de spécialistes qui essaient intentionnellement de trouver des faiblesses dans les systèmes et qui sont payés soit par des primes, soit par une avance pour effectuer des « tests de pénétration » pour une entreprise.
Cela ne signifie pas que vous ne pouvez pas en signaler une si vous la trouvez, mais vous devez vous renseigner sur les conditions de soumission et voir si vous disposez des informations techniques nécessaires pour signaler le problème.
Les programmes de primes de bogues ne sont pas tous identiques
Le processus de réclamation d’un bug bounty et les critères d’admissibilité au paiement diffèrent d’un programme à l’autre. L’entreprise en question fixe les règles de ce qu’elle considère comme un problème qui mérite d’être payé pour être signalé. Elle définit également le format approprié pour signaler ce problème, ainsi que tous les éléments nécessaires pour reproduire et vérifier le problème.
La valeur d’un rapport vérifié varie également. Certaines entreprises sont énormes et disposent de budgets importants pour la sécurité. D’autres sont des petites entreprises ou des startups qui s’appuient sur les programmes de primes aux bugs pour compenser leur effectif permanent relativement faible en matière de cybersécurité. Dans ce cas, les primes peuvent être plus modestes.
Où trouver les programmes de primes aux bugs
Le premier endroit à consulter si vous rencontrez une vulnérabilité à signaler est le site Web de l’entreprise qui fabrique le produit ou offre le service en question. En général, seules les très grandes entreprises gèrent et administrent leurs propres programmes de primes aux bugs.
Les petites entreprises sont plus susceptibles d’utiliser des services spécialisés de bug bounty. Par exemple, la liste des programmes de bug bounty de HackerOne fait la promotion des programmes de diverses entreprises qui sont gérés par le site.
Combien les primes de bogues rapportent-elles ?
Si vous avez consulté la liste de primes pour les bogues de HackerOne, vous avez peut-être remarqué que chaque programme indique un montant minimum pour la prime. Si vous ouvrez l’un des programmes, vous verrez des statistiques sur le montant moyen de la prime ainsi que les niveaux de récompense, en fonction de la gravité de la vulnérabilité.
Les problèmes de faible, moyenne et haute gravité peuvent rapporter de quelques centaines à quelques milliers de dollars, tandis que les vulnérabilités critiques peuvent rapporter plusieurs milliers de dollars.
Des primes vraiment stupéfiantes ont été versées au fil des ans et des offres massives, mais celles-ci sont un peu comme gagner à la loterie. Il faut être celui qui tombe sur un exploit qui ne vaut qu’une fois sur un million et qui se trouve dans le système d’un gros joueur qui dispose de ce type d’argent. Si vous voulez gagner votre vie grâce aux primes aux bugs, vous avez plus de chances d’obtenir un revenu régulier grâce aux petits bugs courants qui apparaissent lors de tests de pénétration systématiques.