Une première plateforme européenne pour la recherche de bugs logiciels

Bounty Factory est la première plateforme européenne qui réconcilie dans un cadre légal les entreprises avec les hackers en proposant la recherche de vulnérabilités d’un logiciel.

Recherche de failles dans le code informatique
Crédits: D.R.

L’initiative française de Yes We H4ck vient combler une lacune dans l’univers de l’informatique européenne en posant un cadre légal à l’analyse du code informatique créé par des tiers. Pour rendre les choses un peu plus claire, il s’agit de réconcilier le monde des hackers et le monde des entreprises en permettant légalement à des plateformes officielles de spécialistes de la sécurité informatique de pratiquer une recherche des vulnérabilités d’un code à la demande d’une entreprise.

Encore plus simple ? Une entreprise demande à des chercheurs en sécurité informatique de tester son logiciel. Si des failles sont trouvées, les chercheurs sont récompensés. C’est une pratique courante chez Google, Mozilla ou Facebook et de beaux challenges pour des chercheurs en sécurité informatique. Un exemple récent pour iOS est l’application Apollo qui devrait sortir dans la première moitié de 2016.

En 1995, Netscape souhaitant tester la sécurité de son navigateur avait lancé un premier calendrier d’audit logiciel. L’idée était excellente et rapidement suivie et développée par des plateformes aujourd’hui connues telles que HackerOne, BugCrowd ou Pen Test Partner dont nous évoquions hier les tests sur le robot BB-8 de Sphero.

Aux USA, 250 entreprises se sont rassemblées sous la bannière de Hacker One pour traquer les failles logicielles dans ce que l’on nomme le « bug bounty ». Le principe de Hacker One est d’offrir une plateforme centralisée permettant à des spécialistes de la sécurité informatique et aux entreprises de  constituer un périmètre d’application (sur quelle partie du logiciel la recherche de bugs peut s’effectuer), de déposer leurs observations et d’obtenir des récompenses ou de négocier des services et produits.

Nuit du Hack
©ZDNet

Pour installer Bounty Factory, Yes We H4ck a dû travailler sur le cadre légal européen et vaincre les réticences des entreprises. C’est l’aboutissement d’un long travail qui passait entre autres par l’organisation de la « Nuit du hack » pendant laquelle des entreprises mettaient volontairement leur code à l’épreuve des hackers. Aujourd’hui, avec la création officielle d’une plateforme, les développeurs et les entreprises peuvent faire vérifier leur code pour améliorer leur intégrité et la sécurité.

Source

Philippe Schreurs (St.)

_
Suivez Belgium-iphone sur Facebook, Youtube et Instagram pour ne rien rater de l'actu, des tests et bons plans.