[Photo: 123RF]
Alors que de plus en plus d’entreprises proposent des sommes d’argent substantielles à quiconque trouvera des failles dans leurs produits, une nouvelle spécialité semble se dessiner dans le monde de la sécurité informatique : chasseur de bogues.
En août dernier, Hewlett-Packard a annoncé qu’elle signerait un chèque de 10 000 $ US à quiconque trouverait des failles dans certains composants logiciels très spécifiques de ses imprimantes. S’inspirant d’un phénomène jusque-là plutôt émergent, la société californienne est devenue le premier grand fabricant d’imprimantes a ainsi inviter le public à tenter de déjouer les logiciels qu’elle conçoit à l’interne.
Cette pratique a un nom : « bug bounty », ou « prime au bogue ». Et naturellement, ses adeptes les plus fréquents aussi : il s’agit des chasseurs de bogues. « L’univers des cybermenaces est de plus en plus complexe, et en tant qu’industrie à la fine pointe, il est tout à fait crucial de miser sur toutes les ressources disponibles pour rendre nos produits, nos employés et nos entreprises le plus sûres possible, incluant cette méthode », résume Shivaun Albright, directeur de la sécurité des imprimantes chez HP.
L’université des bogues
Occupés à développer de nouveaux produits, les développeurs à l’interne n’ont pas le temps qu’il faut pour trouver toutes les petites failles dans des produits en apparence aussi négligeables qu’une imprimante. Mais ces derniers représentent des menaces tangibles pour l’intégrité des systèmes informatiques, phénomène aggravé par l’émergence des objets connectés qu’on trouve tant à la maison qu’au bureau.
La société Bugcrowd, qui aide des sociétés comme HP à organiser des chasses aux bogues, estime d’ailleurs que les cybermenaces affectent de plus en plus les périphériques en marge des réseaux informatiques. En un an, les attaques passant par une imprimante ont grimpé de 21 %, ce qui en fait un risque majeur pour les entreprises.
Établie à Las Vegas, Bugcrowd voit d’ailleurs un marché prometteur pour les solutions de sécurité participatives comme celle mise de l’avant par HP. À tel point que cet automne, elle ouvrira une université en ligne offrant gratuitement de la formation afin de créer des chasseurs de bogues certifiés.
« Nous ne souhaitons pas seulement former et mieux outiller les internautes participant déjà à ce courant, mais nous désirons aussi présenter ce modèle à d’autres chercheurs et spécialistes en sécurité dans le monde, afin d’accroître le nombre d’experts en la matière », déclarait Jason Haddix, vice-président de Bugcrowd, au moment d’annoncer la mise en ligne de son programme de formation.
Ça prend des allures d’histoire de science-fiction, mais selon le dirigeant américain, le meilleur moyen de contrer les attaques répétées d’une armée de cyberpirates, est de créer une armée d’experts en cybersécurité qui viendront en aide aux concepteurs d’appareils et de logiciels que les entreprises et les particuliers partout dans le monde utilisent sur une base quotidienne.
Cette armée ne roule pas toujours sur l’or : selon une étude à ce sujet publiée le MIT en août dernier, la rançon pour avoir découvert un bogue peut varier de quelques dizaines de dollars, généralement, à quelques milliers de dollars, dans de rares cas. Mais au moins, elle aide à rendre les systèmes informatiques plus sûrs.
