Bug bounty

La chasse aux bugs, un exercice long et difficile. Le bug Bounty, littéralement la prime au bug, est un événement mis en place par les éditeurs et les exploitants de services web désireux d’assainir leur environnement logiciel. Proposé pour la première fois par le support technique de la défunte firme Netscape en 1995, le bug Bounty consiste à offrir une récompense (la prime) à toute personne découvrant un bug, un exploit ou une vulnérabilité sur un service informatique ou un ensemble logiciel donné. Ouverte à tous les développeurs expérimentés, la chasse aux bugs non référencés est depuis cette date ouverte tous azimuts, avec pour heureuse conséquence une nette amélioration des logiciels et des services. Ainsi, tous les grands fournisseurs de services web, de Facebook à Google, en passant par Yahoo, Twitter ou Dropbox, ont mis en place un programme bug Bounty en offrant des primes pouvant aller jusqu’à 1 million de dollars suivant les incidences de l’erreur découverte. À titre d’exemple, en deux ans, le réseau de micro blogging Twitter à distribué 322.000 $ de primes aux chasseurs de bugs qui l’ont aidé à assainir ses services ! En 2019, la plate-forme spécialisée HackerOne comptait 600.000 membres inscrits, et annonçait avoir distribué 40 millions de dollars de primes cette année-là… Pareille manne ne manque bien sûr pas d’attirer les hackers blancs (withe hat) ou encore hackers éthiques, et les experts en sécurité informatique qui voient là un excellent moyen de diversifier leurs activités tout en rendant le web un peu plus sûr. En conclusion, merci Netscape, l’infortuné précurseur des années nonante, même si peu de gens se souviennent encore de son nom…