Prime aux bogues

Les programmes de prime aux bogues visent à récompenser les individus signalant des vulnérabilités ou des problèmes de sécurité d'un système à une entreprise. Les développeurs et les équipes de sécurité de l'entreprise pourront en prendre connaissance et corriger ces bogues avant que des acteurs malveillants ou le grand public ne les découvrent, évitant ainsi des abus et l'exploitation de ces bogues.

Une entreprise peut décider d'ouvrir son programme de prime sur une plateforme développée en interne ou sur des plateformes spécialisées, qui centralisent les primes aux bogues de plusieurs entreprises^[1]. Ces plateformes permettent de définir les conditions et la portée d'une chasse aux bogues, et de communiquer avec les chasseurs de bogues. Ces plateformes ont le plus souvent recours au crowdsourcing et à la ludification à travers notamment un classement des chasseurs de bogues.

Les chasseurs de bogues doivent respecter la portée définie par l'entreprise, lui communiquer un rapport sur la vulnérabilité découverte et garder sa découverte confidentielle dans les conditions définies par le programme.

La prime aux bogues fut inventée par Jarrett Ridlinghafer alors qu'il travaillait au soutien technique de Netscape Communications Corporation en tant qu'ingénieur^[2].

En 1995, alors que Netscape encourageait ses employés à dépasser leurs limites et à faire le maximum pour que le travail soit fini, Ridlinghafer a l'idée de la « prime aux bogues ». Alors que les enthousiastes des produits de Netscape - surtout concernant le navigateur Web Mosaic/Netscape/Mozilla - se multiplient, il étudie ce phénomène plus en détail. Il découvre ainsi que ces fans étaient en réalité des ingénieurs logiciels qui s'occupaient de corriger les bogues du navigateur de leur côté et qui publiaient leurs corrections ou leurs solutions de contournement :

• sur les nouveaux forums qui avaient été lancés par le soutien technique de Netscape afin de permettre une aide par la collaboration (une autre idée de Ridlinghafer durant ses quatre années de travail à Netscape) ;
• sur le site non officiel Netscape U-FAQ où tous les bogues connus et les fonctionnalités du navigateur étaient listés, ainsi que des instructions concernant les solutions de contournement et les correctifs.

Ridlinghafer comprend que l'entreprise doit tirer profit de ces ressources, il écrit alors une proposition pour le programme de prime aux bogues qu'il présente à son superviseur. Ce dernier lui suggère de présenter son projet à la prochaine réunion exécutive de l'entreprise.

À la réunion exécutive suivante, à laquelle participaient James Barksdale, Marc Andreessen et les directeurs de chaque département incluant le service d'ingénierie, chaque membre reçoit une copie de la proposition et Ridlinghafer est invité à la présenter à l'équipe exécutive de Netscape. À cette dernière, toutes les personnes présentes sont emballées par l'idée, excepté le directeur de l'ingénierie, qui ne voulait pas en entendre parler, pensant que c'était une perte de temps et de ressources. Néanmoins, le reste de l'équipe exécutive passe outre son avis et donne à Ridlinghafer un budget initial de 50 000 $ afin de mettre en place sa proposition. Le programme est lancé en 1995^[3].

Le programme connaît un tel succès qu'il est mentionné dans de nombreux ouvrages traitant des succès de Netscape, et de nombreuses organisations (notamment Google) affichent sur la page de leur programme de prime aux bogues un crédit à mozilla.org.

Des primes aux bogues ont été mises en place par des sites Internet comme Facebook^[4], Yahoo!^[5], Google^[6] ou Reddit^[7].

Facebook commence^[Quand ?] à payer des chercheurs trouvant et rapportant des bogues de sécurité en leur délivrant une carte de crédit customisée White Hat pouvant être rechargée à chaque fois que les chercheurs découvrent de nouveaux défauts. « Les chercheurs trouvant des bogues et des améliorations de sécurité sont rares, nous reconnaissons leur travail et nous devons trouver une solution pour les récompenser », dit Ryan McGeehan, manager de l'équipe sécurité de Facebook, dans une interview à CNET. « Avoir cette carte noire exclusive est une autre façon de les reconnaître. Ils peuvent aller dans une conférence, montrer cette carte et dire J'ai fait un travail spécial pour Facebook. »^[8]. En 2014, Facebook arrête de distribuer ces cartes à ses chercheurs.

En octobre 2013, Google annonce un changement majeur à son programme de prime aux bogues qui couvrait déjà de nombreux produits Google. Le changement étend le programme à une sélection de logiciels libres considérés à haut risque et de bibliothèques logicielles, en priorité celles conçues pour les réseaux informatiques ou pour les fonctionnalités précises des systèmes d'exploitation. Les soumissions qui respectaient les critères de Google étaient éligibles à des récompenses variant de 500 $ à 3 133,7 $^[9],[10].

Dans le même ordre d'idées, Microsoft et Facebook se sont associés en novembre 2013 pour commanditer The Internet Bug Bounty, un programme offrant des récompenses pour des rapports sur des exploits et des bogues concernant une large gamme de logiciels liés à Internet^[11]. Dans les logiciels couverts par ce programme, on trouve Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, Nginx, Apache HTTP Server, et Phabricator. De plus, le programme offre des récompenses pour les exploits concernant les systèmes d'exploitation et les navigateurs fréquemment utilisés^[12].

En Europe, les principaux acteurs sont les français YesWeHack et Yogosha, le belge Intigriti^[13], le néerlandais Zerocopter, tandis qu'au niveau mondial HackerOne (en) est leader^[14]. Les initiatives de bug bounty se multiplient, tant en termes d’ampleur que de prévalence. À titre d'illustration, HackerOne a enregistré l'identification et la résolution de plus de 20 000 failles de sécurité dans une multitude d'organisations en mai 2016. L'entreprise offre des récompenses monétaires aux pirates informatiques éthiques. Cependant, en raison de leur nature participative, ils peuvent poser problème en raison d'un nombre élevé de rapports de mauvaise qualité^[15].

En 2025, le ministère du Développement régional de la République tchèque a lancé un programme public de prime aux bogues visant à identifier des vulnérabilités dans les systèmes d’information de l’administration publique. Le programme est opéré via la plateforme de hackers éthiques Hackrate, permettant à des chercheurs externes de signaler des failles de sécurité contre rémunération^[16].

L'Inde, qui est le second pays au monde avec le plus de chasseurs de bogues^[17], trône au sommet du Programme de prime aux bogues de Facebook avec le plus grand nombre de bogues valides. « Les chercheurs en Russie gagnent le plus en 2013 avec leurs rapports de bogues, recevant une moyenne de 3 961 $ pour 38 bogues. L'Inde a le plus de bogues valides, 136 au total, avec une récompense de 1 353 $. Les États-Unis ont rapporté 92 problèmes et ont une récompense moyenne de 2 272 $. Le Brésil et le Royaume-Uni étaient les troisième et quatrième du classement concernant le volume rapporté, avec respectivement 53 bogues et 40 bogues, et une récompense moyenne de 3 792 $ et 2 950 $ », rapporte Facebook dans un article^[18].

Yahoo! est sévèrement critiquée pour avoir envoyé des t-shirts Yahoo! comme récompense aux chercheurs en sécurité ayant trouvé et rapporté des vulnérabilités de Yahoo!, provoquant ce qui a été appelé le T-shirt-gate^[19] : High-Tech Bridge (en), une société testant la sécurité des applications et basée en Suisse, a publié un communiqué disant que Yahoo! offrait 12,5 $ par vulnérabilité (soit le prix d'un t-shirt) en bons d'achat pouvant être utilisés uniquement pour des produits de la marque Yahoo! comme des t-shirts, des tasses et des stylos. Ramses Martinez, directeur de l'équipe de sécurité de Yahoo! a déclaré plus tard dans une publication de blogue^[20] qu'il était derrière le programme de récompense en bons d'achat et qu'il a dû payer lui-même ces bons. On comprend dans l'interview qu'il n'y avait pas d'arrière pensée, et qu'il souhaitait juste remercier le chasseur de bogues avec plus qu'un simple courriel^[19]. Par réaction, Yahoo! a lancé son nouveau programme de prime aux bogues le 31 octobre de la même année, permettant aux chercheurs de soumettre les bogues qu'ils ont trouvés et de toucher une récompense entre 250 $ et 15 000 $, dépendant de la sévérité des bogues découverts^[21].