OSSIR Bretagne 20/10/2016
Bug Bounty- YesWeHack
Le bug bounty date de 1995 et à été lancé à l’origine par Netscape. Depuis l’usage c’est répendu et pas un acteur majeur du web à son Bug Bounty. Bon c’est majoritairement américain. Yes We Hack s’est construit autour d’une Job Board (le pôle emploi de l’infosec), de FireBounty (un agrégateur de bug bounty publiques ) et de Bounty Factory qui est la plateforme de Bug Bounty de YesWeHack.
L’objectif de YesWeHack est de centraliser la communauté, et pour les Hackers éthique, c’est aussi un moyen de montrer ses savoir faire au travers des bug qu’il à découvert dans le cadre de la plateforme de Bug Bounty.
Le Bug Bounty c’est du pentest en continu, mais c’est pas une red team. Ce pentest s’applique potentiellement à tout ce qui est exposé sur internet. Le cadre légal est très fort pour éviter tout dérapage, car l’engagement de YesWeHack est assez fort, et c’est la plateforme qui s’engage auprès des entreprises clientes et des hackers éthiques. Le bug bounty est pour l’orateur un bon complément du pentest interne. Autre intéret, on ne paye qu’au résultat. Le prix délivré sur le bounty dépend souvent de l’impact de la vulnérabilité. Les prix sont donc fixés par l’entreprise. plus de 1200 personnes sont inscrites sur YesWeHack et actifs. La majeur partie des programmes de bug bounty de YesWeHack sont en mode privé. Les clients utilisant le mode privé choisissent les bug hunter sur la plateforme ou peuvent inviter des personnes extérieures à la plateforme. Le reward minimum est à 50€. Pour la gestion des duplicats, c’est YesWeHack qui assiste le client dans la résolution, et le premier à rapporter la vuln gagne de l’argent, et les autres bug hunters seulement des points pour le classement. Certaines entreprises envisagent même de mettre en place des plateformes interne de bug bounty. YesWeHack travaille aussi avec synactiv, Sysdream et digital security pour les clients qui veulent sous-traiter la gestion de la campagne de bug bounty.
Les bug bounty publiques nécessite une certaine maturité dans le domaine sous risque de crouler sous les rapports. Du coup, les nouveaux clients préfèrent commencer par un bug bounty privé avec une dizaine de bug hunters. La communication bouffe pas mal de temps pour les « program managers ».
Retour sur les Bug Bounty
Début d’expérience sur la plateforme YesWeHack en juillet. Il a commencé avec 3 programmes privé devenu publics. Beaucoup de débutants sur ce type de programme ne peuvent pas bénéficier des programmes privés et donc ramassent les miettes laissés par les bug hunters du haut du panier. Les premiers jours sont difficiles, car le travail de découverte peut être énorme. Souvent les low hanging fruits passent en premier (xss,sqli etc…) et ce sur l’ensemble des input. Une fois les vulns trouvé, il faut faire un reporting de qualité pour que le client comprènent bien la faille et sache la rejouer, accompagné d’une petite recommandation. La vuln est souvent accompagné d’un petit poc pour pouvoir trigger la faille. Bon parfois, sur les bug-report, c’est pas toujours facile d’obtenir le payement rapidement. La somme payée peut changer drastiquement d’un client à l’autre. La majorité des bugs remontés sont patchés et le test de la remédiation ne fait pas parti du bounty, et c’est laissé à discrétion du bug hunter.