211service.com
Le crowdsourcing pour la chasse aux bogues logiciels est une activité en plein essor et risquée
Georges Wylesol
Ce sont les Ubers du monde de la sécurité numérique. Au lieu de mettre en relation des conducteurs indépendants avec des passagers, des entreprises comme Bugcrowd et HackerOne mettent en relation des personnes qui aiment passer du temps à rechercher des failles dans les logiciels avec des entreprises disposées à les payer pour les bogues qu'elles trouvent.
Cette économie de la cybersécurité s'est étendue à des centaines de milliers de pirates, dont beaucoup ont une certaine expérience dans le secteur de la sécurité informatique. Certains ont encore des emplois et chassent les bogues pendant leur temps libre, tandis que d'autres vivent de la pige. Ils jouent un rôle essentiel en contribuant à rendre le code plus sûr à un moment où les attaques se multiplient rapidement et où le coût de maintien d'équipes de sécurité internes dédiées monte en flèche.
Les meilleurs observateurs de bogues indépendants peuvent gagner des sommes importantes. HackerOne, qui compte plus de 200 000 utilisateurs enregistrés, indique qu'environ 12 % des personnes utilisant son service empochent 20 000 $ ou plus par an, et environ 3 % gagnent plus de 100 000 $. Les pirates utilisant ces plateformes viennent principalement des États-Unis et d'Europe, mais aussi de pays plus pauvres où l'argent qu'ils peuvent gagner en amène certains à travailler à plein temps sur la chasse aux bogues. (Pour un profil d'un hacker éthique indépendant basé aux Philippines, consultez notre série Jobs of the Future .)
Nettoyeurs de code
De plus en plus de grandes entreprises comme GM, Microsoft et Starbucks exécutent désormais des programmes de primes aux bogues qui offrent des récompenses monétaires à ceux qui repèrent et signalent des bogues dans leurs logiciels. Des plates-formes comme Bugcrowd peuvent aider en alertant la communauté de piratage des programmes en cours de lancement, en donnant la priorité aux bogues envoyés aux entreprises et en gérant des choses comme les paiements.
Richard Rushing, responsable de la sécurité de l'information pour le fabricant de smartphones Motorola Mobility, dit qu'il aime vraiment les recherches de bogues par crowdsourcing, car cela signifie que beaucoup d'yeux scrutent constamment le code, et parce que les chasseurs indépendants signalent rapidement les failles logicielles afin de récolter des primes avant que leurs rivaux ne le fassent.
Histoire connexe
Histoire connexe Le cyberdétective indépendant est un cheminement de carrière réaliste, si vous pouvez vivre à moindre coût.De plus, à une époque où les experts prévoient que 3,5 millions d'emplois en cybersécurité dans le monde seront vacants d'ici 2021 parce qu'il n'y a pas assez de travailleurs qualifiés, les indépendants peuvent alléger une partie de la pression sur les équipes internes.
Pourtant, les plates-formes sont confrontées à quelques grands défis. L'une consiste à continuer à élargir le bassin de chasseurs de bogues talentueux. Une autre consiste à établir une plus grande clarté juridique sur les outils et les techniques que les pirates éthiques peuvent utiliser en toute sécurité. Les tactiques populaires telles que l'utilisation d'attaques par injection, qui impliquent l'insertion de code dans des applications logicielles susceptibles de modifier la façon dont les programmes sont exécutés, pourraient potentiellement conduire à des poursuites en vertu de lois anti-piratage telles que la loi américaine sur la fraude et les abus informatiques (CFAA).
Il y a déjà eu des cas où des chercheurs et des journalistes en sécurité ont fait face à d'éventuelles poursuites judiciaires pour déterrer et signaler les vulnérabilités dans le code des entreprises. Il ne faudrait que quelques poursuites judiciaires très médiatisées pour avoir un effet dissuasif sur l'industrie.
Hacker uni
Pour relever le défi des talents, les plateformes de crowdsourcing publient beaucoup plus de contenu pour aider les hackers à améliorer leurs compétences et à attirer plus de personnes vers des concerts. Bugcrowd vient de dévoiler Bugcrowd University, qui propose des webinaires gratuits et des guides écrits sur des choses comme Burp Suite (oui, c'est vraiment le nom), qui est un outil graphique pour tester la sécurité des applications Web.
La plateforme travaille également avec des hackers éthiques expérimentés pour l'aider à repérer et à former des freelances prometteurs. Les meilleures recrues sont curieuses, tenaces et prêtes à s'adapter rapidement. La technologie évolue si rapidement qu'il est souvent difficile de la rattraper, explique Phillip Wylie, l'observateur de talents de Bugcrowd à Dallas.
HackerOne publie également plus de matériel de formation et forme des chasseurs de bogues indépendants, qui peuvent être des personnages excentriques et parfois abrasifs, dans des compétences non techniques telles que la façon de communiquer plus efficacement avec les services informatiques de l'entreprise.
Couverture aérienne légale
Sur le plan juridique, les plates-formes font pression pour qu'un langage plus sûr soit inséré dans les contrats régissant les primes de bogues. L'objectif, explique Adam Bacchus de HackerOne, est de faire comprendre aux entreprises que si les pirates respectent les règles d'engagement dans des limites raisonnables, ils ne seront pas traduits en justice.
Bugcrowd s'est associé à Amit Elazari, un chercheur en sécurité dont le travail a souligné la nécessité d'un langage de sphère de sécurité, de lancer une initiative appelée divulguer.io créer un cadre standardisé pour trouver et signaler les bogues. Cela fournirait une autorisation explicite pour l'utilisation de techniques de chasse aux bogues qui seraient normalement des violations claires des dispositions des lois anti-piratage.
Il complète une poussée plus large aux États-Unis par des groupes tels que l'Electronic Frontier Foundation pour empêcher les entreprises d'utiliser des lois comme la CFAA pour faire taire les chercheurs qui trouvent de graves failles et les divulguer de manière responsable.
Casey Ellis, fondateur et président de Bugcrowd, affirme que certains autres pays, comme le Royaume-Uni et l'Allemagne, ont également des lois anti-piratage strictes qui pourraient être utilisées pour contrecarrer le piratage éthique.
De telles lois sont nécessaires pour empêcher les pirates de toutes sortes de causer des ravages. Le défi à relever est de trouver un équilibre raisonnable entre la protection des pirates informatiques éthiques et la protection des entreprises contre les pirates malveillants qui cherchent à causer du tort. Bien faire les choses ne sera pas facile, mais compte tenu de la grave pénurie de talents dans le monde de la cybersécurité, c'est un problème que nous devons résoudre de toute urgence.
Mise à jour (27 août) : Cet article a été mis à jour pour montrer le rôle d'Amit Elazari dans le lancement de describe.io