Les programmes bug bounty ont la cote

Un chercheur de Kaspersky Lab part à la chasse aux bugs pour des associations caritatives

Depuis qu’il a rejoint Kaspersky Lab il y a environ deux ans, j’ai toujours vu David Jacoby comme l’un des chercheurs les plus expérimentés et sociables de notre entreprise. En plus d’innover en matière de sécurité, il avait également permis à une équipe de tournage de visiter sa maison (MTV style).

Avec tout ça, vous devez penser que « David est un mec super cool », Jacoby s’est surpassé lors du Security Analyst Summit de cette année. Tout a commencé avec la déclaration suivante lors de son 2ème jour :

« Nous avons tellement d’argent dans cette industrie… Nous avons tellement d’argent, mais nous en faisons tellement peu. C’était quand la dernière fois que vous avez fait quelque chose de bien ? »

De là, il a adhéré au projet de Frans Rosén (Detectify) consistant à traquer des bugs en faveur d’associations caritatives. L’objectif initial était de 11 000$. Même s’ils n’ont pas atteint leur but, ils ont pu découvrir quelque chose de plus intéressant.

« C’était très enrichissant, nous avons contacté des entreprises qui n’avaient jamais participé au programme bug bounty, parce qu’elles n’avaient pas le budget » selon Jacoby. « Mais j’ai fini par discuter avec les départements de marketing de l’entreprise, qui avaient de l’argent et souhaitaient aider des associations caritatives. »

De ces conversations est née l’idée du test d’intrusion dans une fenêtre de 24 heures par Jacoby, Rosén, et trois autres chercheurs. Au lieu du paiement, les chercheurs ont demandé un don à un organisme de bienfaisance du choix de l’entreprise.

Selon Rosén « Tous ceux qu’on a appelés souhaitaient le faire. C’était incroyable. »

Pour Bahnof, un fournisseur d’accès à Internet suédois, l’idée était vraiment très bonne. Jacoby a indiqué qu’ils donnaient désormais de l’argent aux organismes de bienfaisance pour des tests d’intrusion sur une base mensuelle.

« C’est la preuve que les gens s’investissent » selon Jacoby.

Hunting bugs for humanity

Ce discours sur le programme bug bounty collait aussi avec notre équipe, et nous avons décidé d’en parler davantage avec Jacoby.

Kaspersky Daily : Pensez-vous qu’un élément de charité inciterait plus de hackers blancs à faire de la bienfaisance ?

David Jacoby : Pour être honnête, je ne pense pas que cela va changer la mentalité des utilisateurs quant à leur participation aux programmes bug bounty. Je pense que cela pourrait ouvrir d’autres types de partenariats entre les fournisseurs et les organismes de bienfaisance ou les sociétés de sécurité, ce qui pourrait à long terme impliquer plus de personnes

En outre, faire de la bienfaisance devrait être fondamental dans notre vie. Nous n’avons qu’une vie, pourquoi ne pas la rendre aussi belle que possible pour tout le monde ?

Kaspersky Daily : Dans votre discours, vous avez indiqué : « nous avons même eu une entreprise qui voulait se servir de l’argent pour le donner à des enfants afin qu’ils puissent assister à des conférences sur la sécurité ». Pensez-vous qu’avoir un programme sensibilisant les jeunes à la sécurité pourrait davantage encourager des hackers blancs et améliorer la sécurité, autrement dit l’Internet des Objets ?

David Jacoby : Mon point de vue sur l’Internet des Objets est très négatif, du fait que la plupart des appareils de l’Internet des Objets sont conçus par des entreprises qui ne sont pas dans l’industrie informatique, elles être spécialisées dans l’électroménager ou dans l’industrie du divertissement, par conséquent je ne pense pas que ça fera la différence.

Lorsque je pense à des conférences sur la sécurité, j’ai ce sentiment étrange, que nous apprenons aux personnes qui sont déjà dans l’industrie informatique des choses amusantes et que nous facturons un montant ridicule pour chaque ticket. Si nous voulons vraiment faire la différence, nous devrions inviter, par exemple, des étudiants qui seront bientôt nos collègues. Pourquoi devons-nous enseigner à des individus qui s’y connaissent déjà en informatique ? Ça n’a pas vraiment de sens.

Kaspersky Daily : Pensez-vous qu’ajouter un élément de charité à un programme bug bounty pour des bugs plus petits pourrait augmenter le taux de participation sur l’ensemble des programmes ?

David Jacoby : Je l’espère. Je veux changer le monde, ou du moins essayer. Ma vision est d’ajouter des programmes de charité un peu partout. Je vais vous donner un exemple : en Suède, il y a des machines qui recyclent des canettes de sodas vides etc. Ces machines possèdent deux boutons, un appelé Faire un don et un autre qui vous permet d’obtenir de l’argent liquide.

Si je veux faire un don, alors que je le fasse. Il en va de même pour tout. Nous devons faire preuve de créativité et proposer davantage ces idées !

En parlant de programmes bug bounty, Kaspersky Lab a récemment étendu le programme bug bounty de l’entreprise avec Hacker One afin d’inclure plus de produits et d’augmenter certaines des récompenses.

Conseils

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Abonnez-vous et recevez tous nos titres à la une par e-mail
  • For all other countries