Open Bug Bounty met en relation des milliers de chercheurs en sécurité avec des propriétaires de sites Web depuis 2014. Néanmoins, la prudence est de mise.
Les opérateurs de plus de 3 300 sites Web ont éliminé plus d’un million de vulnérabilités via Open Bug Bounty, une plateforme ouverte de gestion des vulnérabilités. Et tandis que le service ajoute de la valeur à de nombreuses organisations, leur donnant accès à des milliers de chercheurs en sécurité, une trop grande confiance peut créer une nouvelle surface d’attaque.
La plate-forme rend plus de 3 300 sites Web un peu plus sécurisés
La plateforme de primes de bogues ouverte, gratuite et communautaire Open Bug Bounty a franchi une nouvelle étape le 27 octobre. À cette date, les utilisateurs du service conforme à la norme ISO 29147 avaient comblé plus d’un million de failles de sécurité. Ceci est rapporté par App Developer Magazine. Au moment de la rédaction de cet article, le compteur sur le portail web du projet est déjà à 1 016 945 vulnérabilités corrigées. Ceux-ci sont répartis sur un total de 3 307 sites Web.
Open Bug Bounty met en relation des fournisseurs de sites Web et de services en ligne avec des chercheurs en sécurité du monde entier. Grâce à un échange transparent, équitable et coordonné sous forme de conseils et de soutien pour éliminer les vulnérabilités, le projet veut rendre les applications Web meilleures et plus sûres pour leurs utilisateurs.
La plateforme à but non lucratif, fondée en juin 2014 par un groupe de chercheurs indépendants en sécurité, vise parfois à traiter les vulnérabilités de manière transparente et respectueuse, ce qui devrait être utile à toutes les personnes impliquées. Pour des entreprises comme A1 Telekom Austria et Drupal, Open Bug Bounty héberge parfois leurs propres programmes pour faire face à leurs failles de sécurité. Plus de 20 000 chercheurs en sécurité avec toutes leurs connaissances et leur expérience sont prêts à apporter leur soutien. Une richesse d’expérience sur laquelle très peu de programmes commerciaux de primes de bogues peuvent s’appuyer.
Trop de confiance dans Open Bug Bounty n’est pas bon non plus
Selon un porte-parole d’Open Bug Bounty, le projet est souvent «un ajout précieux au programme de sécurité d’une organisation“. Parce que si « L’ajout de chercheurs en sécurité ayant des antécédents et des expériences différents à vos tests de sécurité des applications peut apporter des informations supplémentaires qui nécessitent une créativité et un temps inhabituels pour les découvrir.«
Néanmoins, le porte-parole met également en garde contre le fait de rencontrer la plate-forme avec trop de confiance. « Par exemple, si vous autorisez des chercheurs en sécurité externes à tester votre système de production, ils pourraient accéder à des informations personnelles ou financières sensibles.», explique-t-il en référence aux lois applicables en matière de protection des données. En outre, « l’appareil d’un chercheur est compromis par des cybercriminels et les informations sont volées par les méchants.«
Et finalement, ni Open Bug Bounty ni la société qui demande de l’aide n’ont d’influence là-dessus. Parce que même les experts en sécurité ne sont pas infaillibles et peuvent également offrir aux pirates une cible d’attaque. D’autant que les cybercriminels aiment aussi utiliser des méthodes éprouvées pour optimiser leurs procédures.