Le Bug Bounty, qu'est-ce que c'est ? Soyez payé pour identifier des failles informatiques

Une utilisatrice d'un ordinateur

Née au milieu des années 1990 avec l'avènement d'Internet, la pratique du Bug Bounty continue d'exister, et permet à certaines personnes de cumuler de belles sommes d'argent grâce à un travail depuis leur domicile. Concrètement, les grandes sociétés du web rétribuent ceux qui diagnostiquent des failles sur leur plateforme. Le montant de la rémunération dépend de la difficulté à trouver le problème, mais aussi des détails éventuellement apportés par le chasseur de failles. Alors comment gagner davantage d'argent avec cette casquette ? Voici quelques explications pour vous aider.

La définition du Bug Bounty

On a entendu parler de Bug Bounty pour la première fois fin 1995, quand Netscape a promis des récompenses à tous ceux qui mettraient le doigt sur des problèmes de sécurité sur la version 2.0 de leur navigateur. Au début des années 2000, Mozilla a également entrepris de donner 500 dollars à tous ceux qui parviendraient à diagnostiquer un souci sur son navigateur web.

La pratique s'est largement démocratisée au cours des années 2010, puisque des géants comme Google, Western Union, Tesla Motors ou encore Facebook y ont eu recours.

Certaines anecdotes poussent les personnes bien familiarisées avec l'informatique à rêver : en mars 2015, par exemple, Mark Litchfield a gagné pas moins de 24 000 dollars en identifiant 3 points de vulnérabilité dans des sites internet de Yahoo!, dont un bug critique relatif à la plateforme e-commerce de la marque.

Dans les faits, on parvient à cumuler des sommes si importantes uniquement à condition de trouver des problèmes de grande envergure. Tout dépend donc de vos compétences d'internaute et éventuellement de votre chance à tomber sur de graves failles.

Pourquoi les entreprises sont prêtes à payer les chasseurs de bugs ?

Généralement, les sociétés qui veulent s'assurer de la qualité et de la fiabilité de leurs sites web demandent des audits à des prestataires spécialisés. Ceux-ci sont capables d'élaborer des documents particulièrement fournis et détaillés, pour aider leurs clients à perfectionner leurs plateformes. Mais dans notre contexte actuel, les sites effectuent des mises à jour quotidiennes – sans compter que les menaces de piratage restent permanentes. En somme, pour bien se prémunir, il faudrait recourir presque continuellement à ces prestataires de services qui coûtent cher aux entreprises.

C'est pour cette raison que les programmes type « Bug Bounty » rencontrent un véritable succès : ils permettent, pour beaucoup moins cher, de vérifier son site 24 heures sur 24 et 7 jours sur 7. Cerise sur le gâteau, plusieurs personnes différentes viennent tester les potentielles failles, ce qui assure d'avoir un niveau de sécurité optimal… En ne payant que si un problème a été détecté, pour couronner le tout.

De plus, il existe aujourd'hui encore un marché noir dans l'univers du hacking : les pirates informatiques mettent de grands sites en difficulté et demandent une rançon pour rétablir leurs pages. Le Bug Bounty réduit naturellement cette tendance illégale et permet, dans le respect de toutes les règles, de gagner de l'argent grâce à ses connaissances en informatique et à ses capacités de trouver les failles périlleuses pour les sites internet.

Comment faire du Bug Bounty et gagner de l'argent ?

En utilisant les différents sites regroupant les programmes de Bug Bounty, vous pouvez endosser cette casquette de « détective du web » susceptible de vous rapporter de l'argent.

Dans les faits, rien ne vous empêche de vous inscrire sur des sites comme Yes We Hack pour tenter votre chance, mais pour réussir dans un programme de Bug Bounty, il est indispensable d'avoir de solides connaissances en informatique. Vous vous doutez très certainement que quand Microsoft, Yahoo! ou encore Reddit sont prêts à donner plusieurs milliers de dollars à ceux qui dénichent des bugs, c'est bien parce que leurs plateformes sont au point, et que les failles n'apparaissent pas en quelques secondes aux yeux d'un néophyte.

Vous avez toutefois la possibilité, si cette thématique vous intéresse, d'apprendre le pentest (qui signifie "test d'intrusion" et qui est une méthode d'évaluation de sécurité en informatique) et le hacking pour ensuite espérer participer à des programmes de Bug Bounty et toucher des récompenses.

Par ailleurs, sur la plateforme Fire Bounty (en anglais), chacun est libre de rechercher ses propres missions en fonction des récompenses (qui vont du simple remerciement au paiement cash, en passant par des cadeaux).

Combien gagne réellement un internaute qui trouve une faille sur un site ?

Chaque site internet qui lance un programme de Bug Bounty définit ses propres rétributions au préalable : il faut consulter les conditions pour savoir les niveaux des primes, qui sont parfois de quelques centaines d'euros et qui peuvent exceptionnellement dépasser le millier d'euros (voire beaucoup plus dans des cas bien particuliers et rares).

Généralement, le montant de la prime est plus élevé si la vulnérabilité est considérée comme « créative » (difficile à trouver, peu fréquente) ou si elle est bien détaillée par la personne qui la communique. En revanche, si vous avez vu un problème qu'un autre sujet a déjà rapporté avant vous, vous ne touchez théoriquement rien.

Ci-dessous, n'hésitez pas à noter l'article. Laissez un commentaire en bas de page pour donner votre avis.
Et pour découvrir d'autres idées, consultez la belle sélection de BenefsNet (60 méthodes de gains, sans arnaque).

★★★★★★★★★★Le Bug Bounty, qu'est-ce que c'est ? Soyez payé pour identifier des failles informatiques 5/5 (basé sur 1 note)
5 étoiles
1 vote
Noter cet article :

Commenter

Captcha Image

Commentaires (0)

Soyez le premier à commenter.