B0unty Factory, une plateforme européenne pour la recherche de failles

Rendre les campagnes de recherche de vulnérabilités accessibles à toutes les entreprises. C'est l'objectif de B0unty Factory, une plateforme lancée aujourd'hui par un groupe d'experts en sécurité, qui compte la lier à un service de recherche d'emploi spécialisé.

Après un an et demi de travail, B0unty Factory sort enfin des cartons. L'équipe de Yes We Hack a présenté aujourd'hui « la première plateforme européenne de bug bounty », qui doit démocratiser la recherche de failles pour les entreprises européennes et les PME. « Il existe trois grosses plateformes américaines, mais aucune en Europe » nous explique son président, Guillaume Vassault-Houlière, qui dirige également la Nuit du Hack et la sécurité de Qwant. Le moteur de recherche est d'ailleurs l'un des cinq à six premiers clients du service.

Le premier remporte la mise, 25 % dans les poches de Yes We Hack

En bêta, la plateforme propose plusieurs options aux entreprises pour définir un programme de recherche. Cela va du périmètre à tester (ou à exclure) aux montants des récompenses, en passant par la possibilité de réserver la campagne à certains chercheurs. La plateforme nous explique qu'elle ne s'occupe que de la mise en relation, rien de plus durant la campagne de recherche de failles. Pour chaque faille découverte, seule la première proposition est rémunérée, indique le service.

Ce dernier nous indique qu'il se rémunère à hauteur de 25 % du montant de chaque transaction, en plus de la récompense versée. Le client fournit l'argent à Yes We Hack, qui le redistribue ensuite aux chercheurs. Le service peut également prendre en charge une plus grande part de la campagne si besoin. « Nous pouvons offrir une prestation supplémentaire, typiquement si l'entreprise n'a pas de responsable sécurité, mais c'est un autre modèle économique » nous précise Guillaume Vassault-Houlière.

Rassurer les chercheurs et les entreprises

L'intérêt de disposer d'une plateforme européenne est important, selon le spécialiste. « L'arrangement de Wassenaar sur les exportations d'armes peut poser problème aux chercheurs quand ils veulent signaler une vulnérabilité. De même, les entreprises peuvent être frileuses de publier leur périmètre de sécurité aux États-Unis » nous affirme-t-il. Proposer une plateforme qui répond au droit français était donc logique, selon lui.

Surtout, B0unty Factory s'adresse aux entreprises qui ne disposent pas aujourd'hui de tels programmes. « Les bug bounties sont devenus un outil marketing pour les grandes entreprises. Le but est d'aider les start-ups et PME à disposer d'un minimum de sécurité. Ils développent souvent leurs produits rapidement, sans vraiment se soucier de la sécurité » déclare Guillaume Vassault-Houlière. Un point de vue semblable à celui d'Éric Freyssinet, grand spécialiste des botnets. Le projet compte d'ailleurs s'intégrer durablement à la French Tech, en partant de la Normandie, où est situé Qwant.

Aider la recherche en sécurité et la recherche d'emploi

L'équipe est composée de huit spécialistes de la sécurité informatique, dont la moitié travaille sur la conférence Nuit du Hack et qui comprend le blogueur Korben, qui a dévoilé hier le projet. Ce n'est d'ailleurs pas le premier projet du groupe. Depuis 2013, il édite la base d'emploi Yes We Hack Jobs, qui compte environ 1 000 offres et 1 500 inscrits. Ils maintiennent également le répertoire de programmes de recherche de failles FireBounty, qui répertorie plus de 500 offres, dont les récompenses vont du simple « merci » à de fortes sommes.

B0unty Factory sera lié à Yes We Hack Jobs, en attribuant des points à chaque utilisateur pour ses accomplissements et selon la récompense obtenue auprès des entreprises. Mal répondre à une campagne de recherche pourra d'ailleurs engendrer une perte de points.

« Le but est de valoriser les profils » explique l'équipe. À terme, le service compte établir un « top 50 » des chercheurs inscrits, dans lequel une entreprise pourra piocher ceux à qui adresser un bug bounty privé. Cela par exemple en la réservant au « top 10 ».

Lever quelques millions d'euros sur trois ans

Si le travail a commencé il y a un an et demi, la plateforme sort bien aujourd'hui. L'équipe a d'ores et déjà annoncé préparer une levée de fonds. « Nous avons des pistes. Nous comptons sur une levée de fonds normale. Cela représente quelques millions d'euros sur trois ans pour arriver au point de rupture » nous affirme Yes We Hack. Cet argent doit avant tout aider à enrichir les fonctions du service, sur lequel plusieurs développeurs travaillent déjà à plein temps. 

• Accéder à B0unty Factory