Pour contribuer à la sécurité de sites, services ou encore applications, les programmes de Bug Bounty ont de plus en plus la cote même si l'idée n'est plus de première jeunesse. Initiée par Netscape en 1995, elle a surtout été popularisée par Mozilla en 2004. Depuis, plusieurs grands groupes s'y sont mis dont Google en 2010 qui a largement contribué à relancer ce genre de programme.

Cette chasse aux bugs de sécurité fait appel à des hackers afin qu'ils dénichent et rapportent des vulnérabilités qui pourront ultérieurement être comblées par l'éditeur concerné. Ici, pas de full disclosure ou divulgation publique. Quelques récompenses sont mises en place pour les motiver et sont fonction de la qualité du rapport, de la gravité de la faille dénichée.

Les sommes n'atteindront sans doute jamais des montants fous comme on peut en trouver sur le marché noir ou avec des programmes comme celui de Zerodium qui fait parler de lui en ce moment. Mais avec du Bug Bounty, il y a un côté éthique et cela permet d'attirer des hackers plus ou moins expérimentés sur le droit chemin. Ils peuvent en outre valoriser leurs compétences auprès de sociétés.

Pour une entreprise, c'est la possibilité de faire tester la sécurité de ses outils à moindre frais en les soumettant à une sorte d'audit en continu auprès de nombreuses personnes. De conception française sous la houlette de YesWeHack, BountyFactory.io se veut être la première plateforme européenne de Bug Bounty.

Bounty-Factory
Le moteur de recherche européen Qwant s'affiche comme l'un des premiers partenaires de cette plateforme qui jouera donc les intermédiaires entre une société qui veut lancer un Bug Bounty et les chercheurs en sécurité tiers. L'ensemble des sites de Qwant seront soumis sur la plateforme. " En cas de découverte de dysfonctionnements ou de failles par un inscrit, ce dernier sera récompensé par une somme proportionnelle à l'ampleur de la vulnérabilité décelée ", écrit Qwant.

L'aventure de BountyFactory.io ne fait que débuter et marche sur les plates-bandes d'une initiative comme HackerOne. Avec des serveurs basés en France, son côté européen - comprendre non américain - pourrait cependant jouer en sa faveur. Pour le moment, la plateforme est ouverte en bêta privée.

" La première plateforme européenne de Bug Bounty qui repose sur les règles, les principes et la législation dans l'espace économique européen ", peut-on lire sur le site de BountyFactory.io. Le positionnement non américain est plutôt clair...