Salut les amis,
Aujourd'hui je vais vous parler d'un truc qui me fait bien plaisir !
Vous le savez internet et moi c'est une grande histoire d'amour, pour moi Internet a changé la face du monde : réduit les distances, ouvert les connaissances, réduit les inégalités...
La plus belle réussite d'Internet reste Wikipédia, une plateforme collaborative ou chacun partage son savoir sans se prendre la tête et ou tout le monde peut venir s’instruire sans se prendre la tête.
Depuis un certains temps, on voit apparaître une autre richesse d'internet : les sites collaboratif destinés à soutenir un projet, une idée... (le crowfunding) qui grâce à la magie d'internet permettent à des mecs qui ont un projet qui tient la route de se faire financer par les internautes, un de mes potes à tout de même réussir à ouvrir sa brasserie comme ça
Et bien il se pourrait bien que la prochaine étape d'internet soit le "crodwsourcing", un mot compliqué que notre ami Wikipédia défini ainsi :
Le crowdsourcing, ou externalisation ouverte1 ou production participative2, est l'utilisation de la créativité, de l'intelligence et du savoir-faire d'un grand nombre de personnes, en sous-traitance, pour réaliser certaines tâches traditionnellement effectuées par un employé ou un entrepreneur.
Comprenez : remplacer une tâche qui d'habitude seule une entreprise peut vous offrir en vous faisant payer la peau des yeux par la même tache accompli par des mecs dégourdi pour 10x moins cher
Le crowdsourcing c'est un peu l'uberisation d'un savoir faire...
Bref, si je vous parle de cette nouvelle tendance c'est pour un domaine bien spécifique : l'audit de sécurité (autrement appelé pentesting).
A ce jour, si vous possédez un site, une appli, un logiciel et que vous voulez vérifier qu'il n'est pas facile à hacker, qu'il ne contient pas de failles et bien vous devez payer une boite spécialisée, bien cher, pour obtenir votre petit bilan et avec un peu de chance des réponses...
Et si vous êtes un petit malin et que vous voulez chercher des failles dans un logciel et bien vous risquez à chaque instant une descente de la DGSE chez vous...
Aux Etats-Unis, ça fait plus de 20 ans que ça ne se passe plus comme ça, depuis Nestcape les copains de Donald Trump ont créé ce qu'ils appellent des "bug bounty" comprenez des "récompenses pour faille trouver". Ce sont les boites elle même qui propose, via des plateforme de mettre à l'épreuve leur outils et qui récompensent les gentils hackers qui font remonter une faille, pas con hein ??
On est en plein dans le Crowdsourcing : on dépose son code, son soft ou tout ce qu'on vous voulez mettre à l'épreuve des pirates et chacun est libre de venir s'amuser à chercher des failles de sécurité, lorsque vous en trouvez une vous toucher votre récompense, pouvant atteindre quelques milliers d'euros pour les plus belles
Bien entendu Google, Facebook et autres géants proposent carrément leur propre campagne de bug bounty, mais il existe aussi des plateformes ou tout est encadré à l'aide de comptes, de sessions...
C'est du gagnant gagnant :
- Les boites ont une audit permanente de la sécurité de leurs outils pentester par des dizaines de personnes chaque jour sans aucun coût (sauf les primes versées).
- Les hackers "bossent" en toute légalité et sont sûr de toucher une récompense dans le cas de faille trouver.
Bref, la magie d'internet
Aux States, la plateforme de bug bounty la plus connue est hackerone mais il en existe d'autres.
En France et en Europe, jusqu'à hier il n'en existait aucune !!!
Je suis donc très content de vous annoncer la mise en ligne de la première plateforme de bug bounty française : https://bountyfactory.io/
Bon je sais ce que vous allez dire, en quoi c'est français ???
Et bien si, je vous jure, derrière cette plateforme rédigée en anglais se cache l'équipe de YesWeHack que je suis depuis quelques années mais aussi l'équipe de Qwant et notre ami Korben !!
Je n'ai aucun doute sur l'avenir de ce site, si les entreprises jouent le jeu, je sais que nombreux seront les codeurs en herbe qui seront tenté par l'aventure
J'ai aussi eu la garantie que prochainement une version française du site serait dispo.
Bref, bravo à eux et j'espère vraiment que les entreprises du secteur High-Tech et autres verront l’intérêt qu'il y a a participer à une campagne de bug bounty plutôt que de payer des boites pro, et oui faut vivre avec son temps et je vous l'ai dit c'est vraiment gagnant-gagnant, enfin sauf quand la prime en question est un T-shirt
Pour info voici la prez officielle de Bounty Factory :
YesWeHack lance la 1ère plateforme européenne de Bug Bounty : BountyFactory.io
La sécurité informatique est un enjeu stratégique pour toutes les organisations. Effectuer un état des lieux s’avère indispensable afin d’en avoir une vision d’ensemble. Les audits de sécurité doivent être faits régulièrement et représentent un coût élevé.
Les Bug Bounties offrent la possibilité aux sociétés d’externaliser la recherche de vulnérabilités en collectant un nombre significatif de failles de sécurité potentielles qui seront reproduites puis analysées. Cela permet l’amélioration du code pour parer aux nouveaux risques.
Avec un bon programme de Bug Bounty, une société peut faire tester la sécurité de son site ou de ses applications en continu par des centaines d’experts, en leur proposant une récompense, financière ou autre.
Soumettre son site à un programme de Bug Bounty est abordable, permet de communiquer de manière transparente sur sa sécurité, et également d’être proactif et réactif en cas de vulnérabilité avérée.
En participant aux Bug Bounties, les chercheurs en sécurité mettent en application leurs connaissances en toute légalité, sont rémunérés, enrichissent leur réseau et valorisent leur expertise.
YesWeHack lance la première plateforme européenne de Bug Bounty : BountyFactory.io.
BountyFactory.io est un moyen accessible de sécuriser les plateformes (sites, applications etc.).
Pour créer leurs propres programmes de Bug Bounty, les startups, grands groupes, ou porteurs de projets, s’inscrivent sur notre plateforme. Ils définissent un périmètre testable, une récompense et ont le choix de proposer leurs programmes en public ou en privé.
Les chercheurs en sécurité inscrits sur BountyFactory.io prennent alors connaissance en détails du programme de Bug Bounty. Lorsque l’un d’entre eux trouvent une faille de sécurité faisant partie du périmètre, elle devra être validée par l’initiateur du Bug Bounty. Si celle-ci est avérée, le chercheur sera alors immédiatement récompensé et crédité de points de compétences qui lui serviront à valoriser son CV.
Affaire @ suivre donc
