Profession: chasseur de bogues

Offert par Les Affaires


Édition du 06 Octobre 2018

Profession: chasseur de bogues

Offert par Les Affaires


Édition du 06 Octobre 2018

Par Alain McKenna

[Photo: 123RF]

Alors que de plus en plus d’entreprises proposent des sommes d’argent substantielles à quiconque trouvera des failles dans leurs produits, une nouvelle spécialité semble se dessiner dans le monde de la sécurité informatique : chasseur de bogues.

En août dernier, Hewlett-Packard a annoncé qu’elle signerait un chèque de 10 000 $ US à quiconque trouverait des failles dans certains composants logiciels très spécifiques de ses imprimantes. S’inspirant d’un phénomène jusque-là plutôt émergent, la société californienne est devenue le premier grand fabricant d’imprimantes a ainsi inviter le public à tenter de déjouer les logiciels qu’elle conçoit à l’interne.

Cette pratique a un nom : « bug bounty », ou « prime au bogue ». Et naturellement, ses adeptes les plus fréquents aussi : il s’agit des chasseurs de bogues. « L’univers des cybermenaces est de plus en plus complexe, et en tant qu’industrie à la fine pointe, il est tout à fait crucial de miser sur toutes les ressources disponibles pour rendre nos produits, nos employés et nos entreprises le plus sûres possible, incluant cette méthode », résume Shivaun Albright, directeur de la sécurité des imprimantes chez HP. 

L’université des bogues

Occupés à développer de nouveaux produits, les développeurs à l’interne n’ont pas le temps qu’il faut pour trouver toutes les petites failles dans des produits en apparence aussi négligeables qu’une imprimante. Mais ces derniers représentent des menaces tangibles pour l’intégrité des systèmes informatiques, phénomène aggravé par l’émergence des objets connectés qu’on trouve tant à la maison qu’au bureau.

La société Bugcrowd, qui aide des sociétés comme HP à organiser des chasses aux bogues, estime d’ailleurs que les cybermenaces affectent de plus en plus les périphériques en marge des réseaux informatiques. En un an, les attaques passant par une imprimante ont grimpé de 21 %, ce qui en fait un risque majeur pour les entreprises.

Établie à Las Vegas, Bugcrowd voit d’ailleurs un marché prometteur pour les solutions de sécurité participatives comme celle mise de l’avant par HP. À tel point que cet automne, elle ouvrira une université en ligne offrant gratuitement de la formation afin de créer des chasseurs de bogues certifiés.

« Nous ne souhaitons pas seulement former et mieux outiller les internautes participant déjà à ce courant, mais nous désirons aussi présenter ce modèle à d’autres chercheurs et spécialistes en sécurité dans le monde, afin d’accroître le nombre d’experts en la matière », déclarait Jason Haddix, vice-président de Bugcrowd, au moment d’annoncer la mise en ligne de son programme de formation.

Ça prend des allures d’histoire de science-fiction, mais selon le dirigeant américain, le meilleur moyen de contrer les attaques répétées d’une armée de cyberpirates, est de créer une armée d’experts en cybersécurité qui viendront en aide aux concepteurs d’appareils et de logiciels que les entreprises et les particuliers partout dans le monde utilisent sur une base quotidienne.

Cette armée ne roule pas toujours sur l’or : selon une étude à ce sujet publiée le MIT en août dernier, la rançon pour avoir découvert un bogue peut varier de quelques dizaines de dollars, généralement, à quelques milliers de dollars, dans de rares cas. Mais au moins, elle aide à rendre les systèmes informatiques plus sûrs.

 

 

CLIQUEZ ICI POUR CONSULTER LE DOSSIER «CYBERSÉCURITÉ 2018»
http://www.lesaffaires.com/dossier/cybersecurite-2018

 

CLIQUEZ ICI POUR CONSULTER LE DOSSIER «CYBERSÉCURITÉ 2018»

À la une

Loi 101: aidons les PME à mieux intégrer les immigrants

10/04/2021 | François Normand

ANALYSE. «Le renforcement de la loi 101 ne doit pas alourdir le processus administratif des PME de 25 à 49 employés.»

Faites le choix d'améliorer la qualité de votre portefeuille

09/04/2021 | Philippe Leblanc

BLOGUE INVITÉ. Pourquoi ne pas choisir nos investissements boursiers selon des critères de sélection?

Créer de la valeur grâce à la responsabilité sociale et environnementale

Mis à jour le 08/04/2021 | lesaffaires.com

LIVRE BLANC. Les pratiques responsables sont loin d’être uniquement l’apanage des grandes entreprises.