Programmes de chasse aux bugs ‘’Bug Bounty’’ informatiques 2011-2013 : enjeux, chiffres, faits, acteurs et tendances.



Notre positionnement en tant que pont (bridge) entre les développeurs, fournisseurs, éditeurs de solutions IT et les utilisateurs (entreprises, professionnels, secteurs publics et organisations) est devenu incontournable à travers le monde.
Vous savez que d’un côté on a ceux qui développent les solutions aux problèmes et de l’autre, ceux qui sont censés lès utiliser. Ce qui veut dire qu’a chaque fois, les intérêts ne sont pas toujours les mêmes.
L’éditeur de logiciels, de contenus ou d’applications veut vendre. Les potentiels utilisateurs (entreprises, professionnels, secteurs publics et organisations), ont besoin des supports, des services, et des programmes qui cadrent bien avec leurs besoins, et attentes.
 En fait ils ont besoin des solutions personnalisées qui apportent un retour sur investissement conséquent. Notre rôle est donc d’aider les parties prenantes à trouver
le juste milieu.

Connectikpeople.co a assisté en Mars 2014, au hack Pwn2own, tenue à Vancouver, au Canada, et nous avons été séduis par les travaux de Vupen Security. Vupen Security est désormais incontournable lorsqu’il s’agit de sécurité informatique, chasse aux bugs, contournement de sandbox et autres. (Voir ses exploits).

Nous saisissons l’occasion pour encourager et féliciter Vupen, qui a choisi la voie de la transparence dans ce  domaine, surtout que c’est une bonne approche pour lutter contre la fraude et les intrusions.

Facebook, Google, Firefox, Microsoft, Apple et autres  expérimentent progressivement au haut niveau les bénéfices des programmes récompensant les chercheurs en sécurité à trouver les bugs dans les applications, sites et logiciels.   

Pour l’occasion, nous avons capturé quelques chiffres chez Facebook. Conectikpeople.co observe que Facebook a récompensé environ 330 chercheurs en sécurité en 2013, dépensant 1,5 million de dollars pour son programme de chasse aux bugs, donc 2 millions de dollars au total depuis 2011.
Qu’il s’agisse des bugs sévères ou souples, la chasse aux bugs est désormais une industrie et tant mieux pour tout le monde.
En 2013, chez Facebook, par exemple :
  • 14 763 découvertes ont été soumises dans le cadre de son programme de chasse aux bugs. + 246% par rapport à 2012
  • 6% des bugs avérés étaient classés comme "très sévères".
Une réalité qui a poussé Facebook d’accélérer la production du code sophistiqué. Du côté des chercheurs en sécurité, il est de plus en plus dur de trouver de bugs sévères, ce qui se traduit par l’émergence des bonnes pratiques.
Connectikpeople.co est également séduis d’observer que, les talents sont dispersés de partout dans le monde. L’Inde, la Russie, le Brésil répondent présents au côté des Etats-Unis le Royaume-Uni, la Turquie et l'Allemagne.

Popular Posts