Les primes de bogue permettent aux personnes qui découvrent des failles de sécurité dans les logiciels et services informatiques d’être récompensées avec de l’argent. Alors, que faut-il pour être un chasseur de primes de bogues, et pouvez-vous gagner votre vie en le faisant ?
EN RELATION: Si vous pouvez pirater ExpressVPN, ils vous donneront 100 000 $
Que sont les programmes Bug Bounty ?
Les logiciels et les services que nous utilisons quotidiennement sont écrits par des êtres humains souvent sous pression pour que leur code soit opérationnel afin que l’entreprise puisse gagner de l’argent. Alors que les méthodes modernes de développement de logiciels aboutissent à des logiciels avec remarquablement peu de problèmes graves, il n’y a aucun moyen pour un petit groupe de développeurs de prévoir toutes les possibilités ou de voir chaque erreur.
Comparez cela à l’armée de hackers à la recherche de toutes les failles possibles dans l’armure de ce code, et vous comprendrez pourquoi les programmes de primes aux bogues sont nécessaires. Ces programmes offrent une récompense aux personnes qui découvrent une vulnérabilité crédible ou un autre type de problème qualifié dans les applications et les services fournis.
Qui peut réclamer des primes de bogue ?
En principe, peu importe qui découvre une vulnérabilité ou un exploit. Ce qui est important, c’est que l’entreprise le sache et règle le problème avant qu’il n’entraîne de réels dommages. En pratique, les primes de bogue sont le plus souvent réclamées par des chercheurs professionnels en sécurité. Ce sont des spécialistes qui essaient intentionnellement de trouver des faiblesses dans les systèmes et d’obtenir des primes payées ou d’avance pour effectuer des «tests de pénétration» pour une entreprise.
Cela ne signifie pas que vous ne pouvez pas en signaler un si vous le trouvez, mais vous devez rechercher les conditions de soumission et voir si vous disposez des informations techniques nécessaires pour signaler le problème.
Les programmes Bug Bounty ne sont pas tous les mêmes
Le processus pour réclamer une prime de bogue et ce qui vous qualifie pour obtenir le paiement diffère d’un programme à l’autre. L’entreprise en question établit les règles de ce qu’elle considère comme un problème qui vaut la peine d’être connu. Il définira également le format approprié pour signaler ce problème, ainsi que tout ce qu’il doit savoir pour reproduire et vérifier le problème.
Le montant d’argent que vaut un rapport vérifié sera également différent. Certaines entreprises sont énormes, avec de gros budgets pour la sécurité. D’autres sont de petites entreprises ou des startups qui s’appuient sur des programmes de primes de bogues pour compenser leur effectif permanent relativement restreint en matière de cybersécurité. Dans ce cas, les primes pourraient être plus modestes.
Où trouver les programmes Bug Bounty
Le premier endroit pour vérifier si vous rencontrez une vulnérabilité à signaler est le site Web de l’entreprise qui fabrique le produit ou offre le service en question. Ce ne sont généralement que les très grandes entreprises qui gèrent et gèrent leurs propres programmes de primes de bogues.
Les petites tenues sont plus susceptibles d’utiliser des services spécialisés de primes de bogues. Par exemple, la liste des programmes de primes de bugs de HackerOne fait la promotion de programmes de diverses sociétés qui sont gérés via le site.
Combien paient les Bug Bounties ?
Si vous avez visité la liste des primes de bogue HackerOne liée ci-dessus, vous avez peut-être remarqué que chaque programme répertorie un montant minimum de prime. Si vous ouvrez l’un des programmes, vous verrez des statistiques sur le paiement moyen des primes ainsi que sur les niveaux de récompense, en fonction de la gravité de la vulnérabilité.
Les problèmes de gravité faible, moyenne et élevée peuvent rapporter quelques centaines à plusieurs milliers de dollars, tandis que les vulnérabilités critiques peuvent coûter plusieurs milliers de dollars.
Il y a eu des primes vraiment stupéfiantes versées au fil des ans et des offres massives, mais c’est un peu comme gagner à la loterie. Vous devez être celui qui rencontre un exploit sur un million et cela doit être dans le système d’un gros joueur qui a ce type d’argent. Si vous voulez gagner votre vie grâce aux primes de bogues, vous êtes plus susceptible d’obtenir un revenu stable grâce aux petits bogues courants qui surviennent lors de tests de pénétration systématiques.