Bounty Factory : la première plateforme européenne dédiée au bug bounty

Posted On 20 Jan 2016

De plus en plus d’entreprise se lancent dans la recherche de « hackers » capable de lui trouver les failles qui pourraient faire mal. Depuis quelques années, les américains proposent de l’argent pour ces inventeurs de vulnérabilités. Depuis 23 heures, ce 20 janvier, l’Europe possède sa propre plateforme Bug Bounty. Une création 100 % Française baptisée Bounty Factory.

Un bug bounty, en quelques mots, c’est le moyen que certaines entreprises ont mis en place pour récompenser les internautes qui lui remonteraient des failles. Par exemple, j’ai pu participer à des bug bounty pour Microsoft, Apple et une dizaine d’entreprises. Moi, je ne cherche par la prime, le paquet de dollars. Avec le protocole d’alerte, c’est aider bénévolement. Cependant, si l’entreprise propose une récompense, les découvreurs de failles auraient bien tord de s’en priver. Les bugs bounty ne datent pas d’hier. L’un des premiers date de 1995. C’était la société Netscape. Elle récompensait les informaticiens qui trouvaient les problèmes de sécurité dans son navigateur, Navigator 2.0. En 2007, le premier concours pointe son nez, le Pwn2Own. Google en 2010, mais aussi la Def Con de Las Vegas et depuis trois ans, la Nuit du Hack, avec l’entreprise Qwant [Le moteur de recherche Français, NDR] ou encore DenyALL. Bref, les propositions des Bugs Bounty attirent de plus en plus de monde.

Combien ?

La sécurité informatique est un enjeu stratégique pour toutes les organisations. Effectuer un état des lieux s’avère indispensable afin d’en avoir une vision d’ensemble. Les audits de sécurité doivent être faits régulièrement et représentent un coût élevé. Les Bugs Bounties offrent la possibilité aux sociétés d’externaliser la recherche de vulnérabilités en collectant un nombre significatif de failles de sécurité potentielles qui seront reproduites puis analysées.

Les prix varient selon les sociétés. Ils peuvent être symboliques [Un merci, un tee-shirt, des produits…] ou sous forme de dollars/euros. De quelques centaines à plusieurs milliers de dollars. Par exemple, Yahoo! a reversé 24 000$ à un internaute lui ayant trouvé trois failles dans sa boutique. Bref, une chasse aux vulnérabilités collective pour plus d’efficacité. Il existe d’ailleurs un collectif dédié au sujet sous le nom de l’Internet Bug Bounty. Microsoft, Facebook et HackerOne en sont les instigateurs. Plusieurs centaines d’entreprises de part le monde ont lancé leur Bug Bounty. Un chiffre qui évolue à la hausse.

Bounty Factory : la première plateforme européenne dédiée au bug bounty

Ce mercredi 20 janvier, la société YesWeHack, plateforme de mise en relation dans les métiers de la sécurité informatique, a lancé Bounty Factory, la première plateforme de Bug Bounty Européenne. Une idée qui germait dans les esprits de plusieurs fondateurs (Korben, Nuit du Hack, Qwant). Une plateforme 100 % Made in France. Ils avaient d’ailleurs lancé, lors de la Nuit du Hack 2015, Fire Bounty, un agrégateur de Bug Bounty. 576 bounties de part le monde sont proposés. « Pour le moment, souligne Korben à ZATAZ.COM, nous sommes en version bêta privée. Le site sera totalement publique dans quelques semaines.«

Bounty Factory, une riche idée qui vient permettre aux Européens de ne pas s’inféoder aux propositions américaines. « Les participants pourront aussi voir leurs compétences mises en valeur lors de leur recherche d’emploi. Ils seront crédités de points sur YesWeHack« . Côté tarif, les entreprises fixeront le montant du prix. « Nous prenons un petit pourcentage, confirme Korben, Nous serons un intermédiaire entre les deux parties. Cela reste à la discrétion de l’entreprise et de son hacker« . Gros plus de l’opération, les serveurs du projet sont en France, bilan, les espions Américains, Russes, Chinois ne pourront avoir accès aux potentielles informations transitant entre les bidouilleurs et les sociétés. « Et si jamais en France, on nous embête, sourit Korben. On bougera !« .

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.