[interview réalisée par Véronique Loquet, lors de la conférence Black Hat, Las Vegas 2016. Publiée dans le magazine Programmez ]
Il est encore possible de trouver des vulnérabilités zero-day dans un logiciel de production en utilisant de simples tests de fuzzing. Le principe est d’injecter des données aléatoires dans les entrées d’un programme. Si le programme plante ou génère une anomalie, alors on sait qu’il y a des corrections à apporter. Durant la conference Black Hat, Chris Bisnett, chercheur en sécurité à Oceans Edge, proposait une session de training dédiée au fuzzing. Expert du reverse engineering et des protocoles propriétaires, il a travaillé comme entrepreneur de la défense pour le gouvernement américain, et fut analyste des vulnérabilités pour la Red Team de la NSA. Chris est aussi un fana des challenges CTF (Capture The Flag). Mais comment se défendre des logiciels malveillants et repérer les failles dans son système quand on n’a pas les ressources humaines à disposition ?
Ces deux dernières années on a vu de nombreuses entreprises se lancer dans les programmes de Bug Bounties. Mårten Mickos qui fut de longues années le CEO de MySQL, a depuis quelques mois rejoint le cœur de la communauté des chercheurs en sécurité. Le CEO de HackerOne était présent à la conférence Black Hat. Basée à San-Francisco, HackerOne aide les entreprises à mettre en place des programmes de bug bounties. Le principe est de récompenser les hackers éthiques pour les failles de sécurité informatiques qu’ils reportent, avant que ces vulnérabilités soient exploitées où que survienne une perte de données. En avril 2016 l’entreprise a lancé le Hack du Pentagone, cette collaboration et son modèle de transparence sont devenus essentiels pour assurer la sécurité du logiciel connecté à Internet.
– Bonjour Mårten, les programmes de Bug Bounties sont de plus en plus utilisés par les entreprises nord-américaines, et la recherche de vulnérabilités est essentielle. Selon toi, cette pratique collaborative peut-elle être adaptée en Europe ?
Bonjour Véronique. Oui absolument, HackerOne a déjà des clients en Europe et certains d’entre eux sont parmi les plus actifs sur notre plate-forme. Ce service est adapté à toute entité ayant une présence numérique (sur le web, les applications mobiles, ou les produits) qui se soucie de la sécurité et se soucie de ses clients.
– Les plates-formes de Bug Bounty ont-elles les moyens de devenir de nouveaux intermédiaires de confiance ?
Exactement. Nous devenons une place de marché où la confiance est établie entre les hackers et les entreprises. Grace à un système de notation élaboré, les deux parties connaissent les paramètres vitaux de chaque côté. Les hackers savent quelles entreprises sont les plus sensibles, et les entreprises connaissent le palmarès des hackers.
– Est-ce que la recherche collaborative peut être une réponse à la pénurie de chercheurs en sécurité disponibles sur le marché du travail ?
Oui elle peut palier ce manque, mais c’est plus que cela. La pratique collaborative a montré qu’il n’y a pas d’autre moyen pour trouver certaines vulnérabilités dans les systèmes connectés que de demander à des êtres humains de les chercher. Qu’il y est un manque de chercheurs en sécurité dans une entreprise ou non, elle aura besoin d’un programme de bug bounty.
– Tu as déclaré sur le blog de HackerOne « c’est une communité, pas une foule », pourtant plus de 60 000 hackers sont inscrits sur la plate-forme de HackerOne. Comment s’assurer de leur éthique ?
La seule raison de rejoindre la communauté HackerOne est de faire le bien. Si vous avez de mauvaises intentions, vous ne vous donnerez même pas la peine de vous inscrire sur une plate-forme comme HackerOne. Nous n’offrons pas un accès spécial où des droits pour les hackers. Nous leur demandons seulement de présenter des rapports de vulnérabilités utiles, et nous les payons uniquement pour leurs résultats. Ainsi, un profil à l’éthique douteuse ne viendra pas s’inscrire sur un programme de Bug Bounty. Même s’il le faisait, la seule façon de construire un score pour obtenir une réputation positive sur HackerOne est la soumission de rapports utiles. Toute personne faisant cela devient de plus en plus éthique.
– Comment être certain qu’une vulnérabilité sera effectivement reportée à HackerOne et non divulguée publiquement ?
Techniquement nous ne pouvons pas le garantir, mais dans la pratique nous n’avons jamais eu un seul problème avec cela. Les hackers sont désireux d’obtenir de la reconnaissance, des points de réputation et une rémunération pour les failles reportées. Seul le premier à signaler une certaine vulnérabilité sera récompensé, il est donc préférable de reporter rapidement. Le type de hacker qui aurait dans l’idée de départ de faire du full disclosure c’est à dire de divulguer les failles de sécurité publiquement ne se donnerait pas du tout la peine de s’inscrire sur HackerOne. Il n’en retirerait aucun bénéfice.
– Que penses-tu de l’économie souterraine qui consiste à vendre de la faille Zero-Day ?
Ce sont des cas à part. Dans leurs grande majorité les hackers sont des white hat, et la grande majorité des vulnérabilités ne sera pas valorisée à un prix élevé via le côté obscur. Au fil du temps, un bon hacker peut gagner plus d’argent avec des primes en reportant un nombre élevé de vulnérabilités critiques, plutôt que de s’essayer à vendre du zero-day pour lequel il est nécessaire de développer un exploit.
– Penses-tu que les programmes de bug bounties sont complémentaires des activités de pentesting ?
Oui, ils sont un bon complément. Cependant dans le monde d’aujourd’hui, il y a aussi beaucoup de situations où le pentesting n’est pas utilisé pour les bonnes raisons. Les programmes de bug bounties sont 10 fois plus productifs, beaucoup de nos clients ont réduit la quantité de pentests pour mettre en place leurs programmes de recherche de failles via le bug bounty.
Merci Mårten, à bientôt !