TOOLinux

Le journal du Libre

Un nouveau programme Internet Bug Bounty très ambitieux

mercredi 22 septembre 2021

Le programme Internet Bug Bounty (IBB) invite les organisations et hackers du monde entier à sécuriser collectivement les logiciels open source au cœur d’Internet et des infrastructures numériques critiques. Il est soutenu par HackerOne.

Internet Bug Bounty (IBB)

Ce mardi, la plateforme sécuritaire HackerOne a dévoilé, dans le cadre de sa conférence annuelle, une toute nouvelle version du programme Internet Bug Bounty (IBB).

Internet Bug Bounty : de quoi parle-t-on ?

Créé en 2013 pour sécuriser les standards au cœur d’Internet, ce programme permet de regrouper les fonds récompensant les hackers qui signalent des vulnérabilités au sein des logiciels open source.

Internet Bug Bounty : pour quoi faire ?

Les logiciels open source sont au cœur de presque toutes les infrastructures numériques modernes. Une application type compte en moyenne 528 composants open source différents. La majorité des vulnérabilités open source à haut risque découvertes en 2020 étaient dans le code depuis plus de deux ans.

On constate par ailleurs que la plupart des organisations n’ont pas de contrôle direct sur les logiciels open source utilisés au sein de leur chaîne d’approvisionnement, pour corriger les failles de manière indépendante.

Qui soutient Internet Bug Bounty ?

Les partenaires qui accompagnent HackerOne dans cette initiative incluent Elastic, Facebook, Figma, GitHub, Shopify et TikTok.

Dirigée et hébergée par HackerOne, cette initiative propose un nouveau modèle de financement commun, afin que davantage d’organisations à travers le monde puissent tirer parti du programme et sécuriser les logiciels open source intégrés au sein de leurs propres infrastructures numériques.

Quels résultats ?

Le programme IBB a déjà contribué à relever ces défis, avec plus de 1.000 failles découvertes dans des projets open source depuis son lancement en 2013 et 900.000 dollars (767 mille €) de primes versées à près de 300 hackers.

Quelles sont les nouveautés du programme ?

Le modèle de financement du nouveau programme IBB a pour objectif d’encourager les partenaires, les développeurs et les hackers à sécuriser les projets d’open source.

Le trois principales nouveautés du programme incluent :
- mise en commun de mécanismes de défense issus de programmes de bug bounty existants ;
- service d’accompagnement tout au long du cycle de vie des vulnérabilités. La répartition des primes se fera entre les hackers et les développeurs selon une répartition 80/20 ;
- simplification du signalement des vulnérabilités : seront mis à disposition un flux de soumission consolidé ainsi qu’une équipe d’assistance HackerOne dédiée afin d’améliorer l’expérience des hackers.

Comment rejoindre le programme IBB ?

Toute organisation qui souhaite soutenir IBB en tant que partenaire est invitée à consulter le site officiel.