Les plateformes de bug bounty HackerOne, Bugcrowd et Synack servent d'intermédiaires entre les pirates blancs et les entreprises qui souhaitent améliorer la sécurité de leurs produits. Lorsqu'elle est utilisée correctement, la logique est simple:- Un pirate informatique signale une vulnérabilité.
- La société de développement corrige le bogue et rappelle au pirate une récompense en reconnaissance pour le fait qu'il a fait la bonne chose.
Mais en réalité, tout fonctionne différemment. Comme l' a montré l' enquête des OSC , les entreprises et les plateformes de bug bounty ont tellement bouleversé la divulgation des vulnérabilités que de nombreux experts, dont l'ancienne directrice des politiques de HackerOne, Katie Mussouri, appellent cela une «perversion».En bref, au lieu de corriger les bogues, les entreprises accordent la priorité à la corruption des pirates, les forçant à signer le NDA comme condition préalable au paiement d'une rémunération. Cela change fondamentalement la logique de ce qui se passe.Procédure de divulgation de la vulnérabilité
Le programme de divulgation des vulnérabilités (VDP) est une exigence presque obligatoire pour de nombreuses entreprises. Par exemple, la Federal Trade Commission des États-Unis recommande aux entreprises d'adopter de telles procédures et des amendes pour les mauvaises pratiques de sécurité. L'an dernier, le Department of Homeland Security a ordonné à tous les organismes civils fédéraux de mettre en place des procédures de divulgation des vulnérabilités.Cependant, pour toute agence ou entreprise, VDP est un énorme casse-tête. La procédure est la suivante: les chercheurs en sécurité signalent un bogue et vous donnent un maximum de 90 jours pour le corriger. Lorsque le temps presse - ils appellent certains de leurs journalistes préférés et publient des informations complètes sur la vulnérabilité sur Twitter, et parlent également à la conférence Black Hat ou DEF CON, si c'est vraiment un bug juteux.D'une part, la procédure de divulgation des vulnérabilités offre un certain équilibre entre les intérêts de l'entreprise, de la société et des chercheurs en sécurité eux-mêmes, qui sont reconnus pour leur travail. Cependant, un certain nombre d'entreprises peuvent être préoccupées par le prix de leurs actions et / ou leur réputation, de sorte qu'elles préfèrent payer de l'argent pour se débarrasser de la nécessité de faire rapport au public.Les plateformes de bug bounty offrent aux organisations une alternative tentante. Les chercheurs signalent des vulnérabilités dans les accords de non-divulgation (NDA). Ils sont littéralement payés pour le silence. Ensuite, l'entreprise fait ce qu'elle veut. Peut-être corriger ces bugs que vous avez signalés si vous le souhaitez. Il ne peut pas le réparer, mais il vous est interdit d'en parler.Le silence est une marchandise
Le silence est une marchandise. Et il semble que ce produit soit en demande sur le marché. La demande crée l'offre. Par conséquent, les plateformes de bug-bounty ont étendu leurs activités de manière à offrir aux clients ce pour quoi ils sont prêts à payer.L'ancienne directrice des politiques de HackerOne, Katie Mussouri, pense que la racine du problème est la commercialisation de plates-formes de primes aux bogues qui recherchent une croissance exponentielle. Par exemple, la direction de HackerOne s'est fixé pour objectif de rassembler 1 000 000 de pirates sur la plateforme. Il est important pour eux d'attirer autant d'entreprises de toutes tailles que possible, quelles que soient les conditions et la rémunération.
Katie Mussouri, ancienne directrice des politiques HackerOne, fondatrice de Luta Security«Ces plateformes de recherche de vulnérabilités commerciales ... pervertissent l'ensemble de l'écosystème, et je veux qu'il s'arrête, même si je le paie moi-même», déclare Mussouri . En tant que l'une des dirigeantes de HackerOne, elle a reçu une option d'achat d'actions et peut compter sur une généreuse récompense en cas de succès de l'offre publique d'actions HackerOne. "Je fais appel à vous malgré mon gain financier personnel."D'autres experts indépendants conviennent que le secret nuit à la sécurité de l'information: «Il vaut mieux que les récompenses soient transparentes et ouvertes. Plus vous essayez de les classer et d'accepter le NDA, moins ils deviennent efficaces, plus il s'agit de marketing, pas de sécurité », explique Robert Graham d'Errata Security.Jonathan Leitschuh est d'accord avec lui, qui a révélé l'année dernière une vulnérabilité catastrophique dans le programme de visioconférence Zoom (installation d'un serveur Web sur un hôte local à l'insu d'un utilisateur avec exécution de commandes à distance).Un exploit simple lorsque Zoom est sur un hôte local:<img src="http://localhost:19421/launch?action=join&confno=492468757"/>
Activation de la webcam sans autorisation de l'utilisateur:<iframe src="https://zoom.us/j/492468757"/>
Jonathan Leitschuh a informé la société le 26 mars 2019, mais cela n'a pas corrigé la vulnérabilité, alors exactement 90 jours plus tard, le pirate a publié un article avec une description dans le domaine public. L'information s'est largement répandue et a fait du bruit. Après cela, la société a immédiatement publié un patch.Mais le pirate n'a pas reçu de récompense. «C'est l'un des problèmes avec les plateformes de primes aux bogues telles qu'elles existent actuellement. Ils permettent aux entreprises d'éviter une période de divulgation de 90 jours », dit-il. - Beaucoup de ces programmes s'appuient sur cette idée de non-divulgation. En fin de compte, il semble qu'ils essaient d'acheter le silence du chercheur . »Prime aux insectes privée
Les accords de non-divulgation de plate-forme tels que HackerOne interdisent même de mentionner l'existence de programmes de primes de bogues privés. Un tweet comme «La société X a un programme privé dans Bugcrowd» suffit pour lancer le pirate de la plate-forme.Les pirates sont réduits au silence avec une carotte et un bâton. Lorsque la carotte est compréhensible, c'est de l'argent. Mais il y a un fouet: en cas de violation de l'accord NDA, les chercheurs peuvent être tenus responsables, y compris les poursuites pénales. La même responsabilité menace théoriquement les pirates qui, à leurs risques et périls, publient des informations sur les vulnérabilités sans conclure aucun accord avec l'entreprise, mais simplement guidés par les principes généralement reconnus de l'éthique des pirates et un délai de prescription de 90 jours à compter de la date de notification de l'entreprise.En 2017, le département américain de la Justice a publiédirectives pour la protection des chercheurs en sécurité. Selon la logique du document, des sanctions sévères pour piratage illégal ne devraient pas être appliquées à un citoyen qui se soucie de la sécurité publique et qui fait du piratage dans l'intérêt public, essayant de faire la bonne chose. Mais cette question reste devant le tribunal. Si le pirate informatique veut une protection juridique garantie contre les poursuites, il doit signer la NDA, sinon il encourt une peine d'emprisonnement de dix ans ou plus conformément à la Computer Fraud and Abuse Act, CFAA. C'est ainsi que les primes de bogues privées doivent être comprises.Par exemple, prenez PayPal. Sur le site officiel indiquéque chaque chercheur doit créer un compte HackerOne et accepter les termes de son programme de prime de bug privé, y compris le NDA. Si vous signalez un bug de toute autre manière, PayPal refuse de garantir votre sécurité et n'exclut pas le dépôt d'une réclamation.Autrement dit, vous ne pouvez signaler une vulnérabilité qu'en signant un NDA, et rien d'autre. "En soumettant une demande ou en acceptant les termes du programme, vous acceptez de ne pas pouvoir divulguer publiquement vos conclusions ou le contenu de votre demande à des tiers sans le consentement écrit préalable de PayPal" , indique le document .
Des programmes privés similaires avec le NDA sont également valables pour d'autres entreprises qui paient une rémunération via HackerOne.Cela est inacceptable du point de vue de l'Electronic Frontier Foundation: «L'EFF croit fermement que les chercheurs en sécurité en vertu du premier amendement [à la Constitution américaine] ont le droit de rendre compte de leurs recherches et que la divulgation des vulnérabilités est très utile», déclare Andrew Crocker, avocat principal de la Fondation. frontières électroniques. Selon lui, de nombreux chercheurs de premier plan dans le domaine de la sécurité refusent de travailler sur des plateformes de bug bounty en raison de la nécessité de signer le NDA.Par exemple, Tavis Ormandy, un pirate réputé du projet Google Project Zero, a adopté cette position. Tavis refuse de signer la NDA, préférant le courrier électronique: «Ils ne liront peut-être pas mes rapports s'ils ne le veulent pas », dit-il . La minuterie de 90 jours tourne toujours.
Tavis Ormandy n'est pas le seul chercheur en sécurité qui refuse de museler, écrit CSO.Kevin Finisterre (@ d0tslash) a refusé 30 000 $ parce que DJI devait signer un NDA pour payer des frais, et ne regrette pas sa décision. Parce que grâce à la divulgation d'informations, Kevin a acquis une renommée et un respect dans la communauté de la sécurité de l'information, et au début de sa carrière, cela vaut beaucoup.Après tout, l'existence du NDA n'est pas conforme aux normes ISO 29147 et ISO 30111, qui définissent les meilleures pratiques pour recevoir des rapports de vulnérabilité, corriger ces erreurs et publier des recommandations. Katie Mussouri est co-auteur de ces normes et assure que les primes de bogues privées, par définition, ne peuvent pas répondre à ces normes, qui décrivent les règles de réception et de traitement des informations pour une entreprise: viole fondamentalement le processus de divulgation de vulnérabilité décrit dans la norme ISO 29147, explique Moussouri. «Le but de la norme est de permettre de rendre compte des vulnérabilités et de [mettre en évidence] l'émission de recommandations pour les parties concernées.»La théorie de la divulgation de la vulnérabilité fait valoir que le risque à court terme de divulgation publique est compensé par les avantages à plus long terme de la correction des vulnérabilités, d'une meilleure information des utilisateurs et des améliorations de la sécurité systémiques.Malheureusement, des plateformes comme HackerOne ne suivent pas ces principes. Dans son article de blog, Les cinq composants essentiels d'une politique de divulgation de vulnérabilité, HackerOne explique aux clients comment fermer les chercheurs en sécurité. En particulier, il est recommandé de ne pas indiquer la période après laquelle les chercheurs sont autorisés à rendre compte publiquement de leurs travaux:
Selon Mussouri, les organisations matures peuvent et doivent adopter leurs propres programmes de divulgation de vulnérabilité. S'ils sont prêts pour une avalanche de messages d'erreur douteux, ils peuvent éventuellement définir une récompense de bug bounty, mais les intermédiaires représentés par HackerOne ne sont d'aucune aide: "Je leur ai dit avant de partir", dit Mussouri, "si vous pouvez simplifier la communication entre les chercheurs et les vendeurs, c'est bien. Mais si vous essayez de vendre le contrôle, vous faites la mauvaise chose. »
