HackerOne héberge le programme Internet Bug Bounty (IBB), créé pour sécuriser Internet

0
169

Le programme Internet Bug Bounty (IBB) invite les organisations et hackers du monde entier à sécuriser collectivement les logiciels open source au cœur d’Internet et des infrastructures numériques critiques.

Communiqué – HackerOne, la plateforme mondiale de sécurité collaborative, dévoile aujourd’hui, à l’occasion de sa conférence annuelle Security@, la nouvelle version du programme Internet Bug Bounty (IBB). Créé en 2013 pour sécuriser les standards au cœur d’Internet, ce programme permet de regrouper les fonds récompensant les hackers qui signalent des vulnérabilités au sein des logiciels open source. Désormais dirigée et hébergée par HackerOne, cette initiative propose un nouveau modèle de financement commun, afin que davantage d’organisations à travers le monde puissent tirer parti du programme et sécuriser les logiciels open source intégrés au sein de leurs propres infrastructures numériques. Les partenaires qui accompagnent HackerOne dans cette initiative incluent Elastic, Facebook, Figma, GitHub, Shopify et TikTok.

“TikTok est fier de soutenir les initiatives innovantes telles que le programme IBB de HackerOne, qui permet non seulement de renforcer la sécurité de TikTok, mais aussi de faire d’Internet un environnement plus sûr pour tous, en tirant parti des efforts de la communauté mondiale de hackers éthiques”, explique Roland Cloutier, Chief Security Officer chez TikTok.

Les logiciels open source sont au cœur de presque toutes les infrastructures numériques modernes. Une application type compte en moyenne 528 composants open source différents, et la majorité des vulnérabilités open source à haut risque découvertes en 2020 étaient dans le code depuis plus de deux ans. On constate par ailleurs que la plupart des organisations n’ont pas de contrôle direct sur les logiciels open source utilisés au sein de leur chaîne d’approvisionnement, pour corriger les failles de manière indépendante. Le programme IBB a déjà contribué à relever ces défis, avec plus de 1 000 failles découvertes dans des projets open source depuis son lancement en 2013, et 900 000 dollars de primes versées à près de 300 hackers.

“Les récentes cyberattaques contre les chaînes d’approvisionnement démontrent l’urgence de sécuriser ces angles morts organisationnels. De plus, les logiciels open source représentent une part croissante des surfaces d’attaque des chaînes d’approvisionnement critiques dans le monde”, déclare Alex Rice, directeur technique et cofondateur de HackerOne. “Le nouveau programme IBB permet aux entreprises qui fonctionnent avec de l’open source d’être actrices dans la construction collective d’une infrastructure numérique plus sécurisée pour tous.”

Le modèle de financement du nouveau programme IBB a pour objectif d’encourager les partenaires, les développeurs et les hackers à sécuriser les projets d’open source. Le trois principales nouveautés du programme incluent:

La mise en commun de mécanismes de défense issus de programmes de bug bounty existants. Les clients de HackerOne pourront tirer profit de l’IBB pour sécuriser les composants open source de leur propre chaîne d’approvisionnement en mettant en commun 1 à 10 % des dépenses de leur propre programme de bug bounty HackerOne avec d’autres entreprises exposées aux mêmes risques.

Le service d’accompagnement tout au long du cycle de vie des vulnérabilités. La répartition des primes se fera entre les hackers et les développeurs selon une répartition 80/20. Comme les développeurs de logiciels open source se portent volontaires pour aider à corriger les vulnérabilités signalées, la répartition des primes garantit le paiement de toutes les parties prenantes sollicitées dans la prise en charge des vulnérabilités.
La simplification du signalement des vulnérabilités – Seront mis à disposition un flux de soumission consolidé ainsi qu’une équipe d’assistance HackerOne dédiée afin d’améliorer l’expérience des hackers.

Le laboratoire de sécurité de GitHub déploie beaucoup d’énergie à encourager la collaboration entre les hackers professionnels et les développeurs de logiciels libres afin de sécuriser les logiciels dont les entreprises dépendent toutes aujourd’hui“, explique Xavier René-Corail, directeur de la recherche en sécurité au laboratoire de sécurité de GitHub. “En mettant l’accent sur la divulgation coordonnée et la correction systématique de failles de sécurité, le programme Internet Bug Bounty représente une occasion unique de promouvoir davantage une approche collaborative de la sécurité open source, qui récompense à la fois les hackers et les développeurs.

Le nouveau programme IBB vise à financer en partie la sécurisation des projets open source les plus utilisés sur Internet, notamment Curl, Django, Electron, Node.js, Ruby et bien d’autres. À terme, HackerOne prévoit d’ouvrir le programme à d’autres projets et à tout client de HackerOne qui souhaiterait contribuer à sécuriser les composants open source de sa chaîne d’approvisionnement logicielle.

Toute organisation qui souhaite soutenir IBB en tant que partenaire est invitée à consulter : www.hackerone.com/internet-bug-bounty.