Facebook, GitHub et TikTok rejoignent le programme de bug bounty qui sécurise l’open source

Plusieurs grands noms de la tech viennent de rejoindre en tant que sponsors officiels le programme de bug bounty pour l’open source désormais tenu par la plateforme HackerOne.

L’objectif de ce dispositif : encourager les hackers à identifier et remonter les vulnérabilités des principaux projets du milieu open source.

Force est de constater qu’un grand nombre de ces projets se retrouvent utilisés dans le privé, que ce soit dans de petites structures type PME ou encore dans de grands groupes qui baignent dans le soleil et les US dollars de la Silicon Valley.

Une récente étude (société Synopsys) aurait établi qu’une application type reposerait en moyenne sur pas moins de 528 composants open source (ça en fait du code pioché par-ci par-là 👀).

Lancé en 2013, le programme de chasse aux bugs Internet Bug Bounty (IBB) a déjà fait ses preuves avec plus de 1000 failles identifiées et 900 000 dollars de gratification remis à environ 300 hackers.

Au vu de plusieurs cyberattaques survenues ces derniers mois dans l’industrie IT, et d’affaires portant sur des interventions malveillantes dans les projets open source, HackerOne souhaite étendre l’ampleur et le champ d’action de ce programme de bug bounty.

Pour cela, la société californienne a décidé de retravailler le modèle de financement du dispositif en y intégrant des partenaires de renom : Facebook, GitHub, TikTok, mais aussi les sociétés Shopify, Elastic (derrière Elasticsearch) et Figma.

La nouvelle version du programme propose également aux clients de HackerOne de mettre en commun entre 1 et 10% des budgets qu’ils allouent à leurs propres programmes de bug bounty pour le IBB, et offre un modèle de gratification qui implique les mainteneurs des projets open source : 20% de gratification leur seront remis, les 80% revenant aux hackers qui découvrent les bugs.

De même, HackerOne prévoit de simplifier le processus permettant aux chasseurs de bugs de signaler une faille dans le cadre de ce programme.

Enfin, l’initiative Internet Bug Bounty contribuera financièrement aux projets open source les plus utilisés, parmi lesquels Curl, Django, Electron, Node.js et Ruby.