© HackerOne
© HackerOne

Le programme Internet Bug Bounty (IBB), qui regroupe les fonds qui aident à récompenser les hackers qui signalent des vulnérabilités, est à présent dirigé et hébergé par HackerOne, plateforme mondiale de sécurité collaborative. Plusieurs partenaires de renom l'accompagnent.

Cela fait maintenant huit ans que l'Internet Bug Bounty (IBB) travaille à sécuriser les logiciels open source, qui sont aujourd'hui un véritable pilier des plus importantes infrastructures numériques modernes. L'organisation à but non-lucratif a permis de réaliser que la majorité des vulnérabilités open source à haut risque découvertes l'an dernier se trouvaient dans le code depuis plus de deux ans. Elle a déjà généré plus de 900 000 dollars de primes versées à plus de 300 hackers que compte la communauté des hackers éthiques, pour plus de 1 000 failles découvertes depuis 2013 dans des projets open source. Désormais, le programme IBB fait partie intégrante de HackerOne, la plateforme mondiale de bug bounty.

Facebook, TikTok et GitHub rejoignent HackerOne autour de l'IBB

Le programme Internet Bug Bounty (IBB), créé pour regrouper les fonds qui récompensent des hackers qui dénichent des vulnérabilités dans des logiciels et applications open source, propose un nouveau modèle de financement commun, impulsé par HackerOne.

Le but du nouveau modèle est de gonfler le nombre d'organisations qui aujourd'hui tirent parti de l'IBB afin de sécuriser davantage de logiciels open source. C'est pourquoi HackerOne est accompagné, dans cette initiative, par des entreprises ou organisations comme Facebook, TikTok, Shopify, GitHub, Elastic et Figma.

« TikTok est fier de soutenir les initiatives innovantes telles que le programme IBB de HackerOne, qui permet non seulement de renforcer la sécurité de TikTok, mais aussi de faire d’Internet un environnement plus sûr pour tous, en tirant parti des efforts de la communauté mondiale de hackers éthiques », a déclaré le responsable de la sécurité du réseau social vidéo TikTok, Roland Cloutier.

Les attaques des chaînes d'approvisionnement : une priorité des hackers éthiques

Parmi les principales nouveautés du programme IBB, on retrouve une mise en commun des mécanismes de défense issus de programmes déjà existants de bug bounty. Les attaques des chaînes d'approvisionnement (attaques de la supply chain), véritables angles morts organisationnels, sont un fléau contre lequel l'IBB entend lutter. Les clients de HackerOne pourront ainsi sécuriser les composants open source de leur propre chaîne d'approvisionnement. Pour cela, ils devront placer, dans un pot commun, entre 1 et 10 % des dépenses générées dans le cadre de leur programme de bug bounty.

Le saviez-vous ? 🤔

Parmi ses clients, HackerOne compte la Commission européenne, le département américain de la Défense, mais aussi des entreprises comme Microsoft, Nintendo, PayPal, Spotify, Dropbox, Deliveroo, Booking.com, Google, Intel, Twitter, Lufthansa, Goldman Sachs ou encore Starbucks.

En outre, un service d'accompagnement sera créé pour suivre tout au long de leur vie les vulnérabilités. HackerOne promet une répartition à 80/20 entre les hackers et les développeurs. L'idée, ici, est de ne pas négliger les développeurs qui sont volontaires pour corriger les vulnérabilités. Une simplification du signalement des vulnérabilités sera aussi favorisée dans le cadre du nouveau programme, avec une équipe d'assistance spéciale qui fera gagner du temps et de l'efficacité aux hackers éthiques et à leurs actions. En passant de 371 à 28 jours, le temps moyen nécessaire à combler une faille identifiée a été divisé par 13 en 10 ans. Mais ce délai reste encore trop important.

Enfin, le programme IBB veut contribuer financièrement à des projets open source comme Node.js, Ruby, Curl, Django ou Electron, qui sont parmi les plus utilisés sur Internet.

Source : communiqué de presse