Scribd Logo
Importer

Bienvenue sur Scribd !

  • 154 vues

    Bug Bounty

    Transféré par

    TOULASSI-ANANI Yves Lolo
    Une présentation du concept Bug Bounty et son fonctionnement.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd

    Bug Bounty

    Transféré par

    TOULASSI-ANANI Yves Lolo
    154 vues13 pages
    Une présentation du concept Bug Bounty et son fonctionnement.

    Titre original

    BUG BOUNTY

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Une présentation du concept Bug Bounty et son fonctionnement.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    154 vues13 pages

    Bug Bounty

    Transféré par

    TOULASSI-ANANI Yves Lolo
    Une présentation du concept Bug Bounty et son fonctionnement.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    sur 13

    BUG BOUNTY

    Exposé du Module: Vulnérabilité des SI

    Présenté par:
    IRT4-ESGIS
    Option: Sécurité Systèmes
    Réseaux (SRS) Yves Lolo TOULASSI-ANANI

    Minto LAMBONI
    DEFINITION DES TERMES
    • Bug: est un défaut de conception d'un programme informatique à l'origine
    d'un dysfonctionnement (anomalie de fonctionnement);
    • Bounty: Gain issue d’une récompense. En majorité des cas donné en nature
    Argent.

    L’ensemble donc peut se résumer en: Versement d'une récompense


    monétaire aux experts en sécurité pour trouver certaines défaillances de
    sécurité majeures dans un programme informatique.
    PLAN DE PRESENTATION

    INTRODUCTION PRESENTATION CAS PRATIQUE


    AU BUG BOUNTY D’UN BUG BOUNTY

    •Concept •Historique •Android Rewards


    •Etapes du Bug •Elaboration d’un
    Bounty Bug Bounty
    •Avantages et
    Inconvénients
    INTRODUCTION AU BUG BOUNTY
    Les Etapes du Bug Bounty:

    Définir les Récupérer les Concevoir


    Définir le informations
    vulnérabilités des palliatifs
    logiciel sur les
    cibles et fixer et mettre à
    cible du Bug vulnérabilités
    les jour le
    Bounty et les patchs
    récompenses logiciel
    proposés
    Les avantages du bug bounty:

    ❑Ce que le Hackeur gagne:


    ✓ Ces programmes leur donnent l’opportunité de tester leurs compétences;

    ✓ Le défi apporte un côté fun au hacking. Et puisqu’il s’agit de hacking dit « chapeau
    blanc », c’est légal et éthique;

    ✓ Ils obtiennent des récompenses financières qui peuvent d’avérer substantielles

    ✓ Lorsqu’ils gagnent, leur réputation y gagne aussi.


    Les avantages du bug bounty:
    ❑Ce que le Hackeur gagne:
    ✓ Ces programmes leur donnent l’opportunité de tester leurs compétences;
    ✓ Le défi apporte un côté fun au hacking. Et puisqu’il s’agit de hacking dit « chapeau
    blanc », c’est légal et éthique;
    ✓ Ils obtiennent des récompenses financières qui peuvent d’avérer substantielles
    ✓ Lorsqu’ils gagnent, leur réputation y gagne aussi.

    ❑ Ce que les entreprises gagnent:


    ✓ Un moyen rapide de trouver des défaillances sécuritaires insoupçonnées.
    ✓ Améliorer la sécurité générale des logiciels;
    ✓ Economie sur les budgets de conception.
    Inconvénients ou risques du Bug Bounty:

    ✓Facilité pour la concurrence d’évaluer le logiciel;

    ✓Risque de se faire hacker par des pirater malveillants;

    ✓Risque de divulguer les failles avant la mise à jour le logiciel.


    PRESENTATION D’UN BUG BOUNTY
    Historique:
    ELABORATION D’UN PROGRAMME BUG BOUNTY:
    ✓ Bien définir l'ensemble vulnérabilités soumises au programme.
    ✓ Ne pas laisser un candidat s'induire en erreur pour prendre un service
    normal fonctionnel pour une faille, tel que prendre un service de
    téléchargement de fichiers à partir d'un serveur publique comme une faille
    de vols de données par un attaquant distant.
    ✓ Exclure également toutes les failles déjà découvertes ou connues, afin de
    payer que pour une nouvelle découverte;
    ✓ Etablir une liste par rapport à la gravité des vulnérabilités;
    ✓Les adresses IP, les noms de domaines, les applications, et les services ciblés
    par le programme doivent être explicitement cités avec ceux qui ne sont
    pas ;
    ELABORATION D’UN PROGRAMME BUG BOUNTY:
    ✓ Une charte qui définit au hackeur les règles de gestion des vulnérabilités
    découvertes;
    ✓ Mettre en place un canal sécurisé par lequel les hackeurs doivent envoyer leurs
    résultats;
    ✓ Veiller à garder toutes les mesures de sécurité dressées dans l'entreprise actives,
    comme les firewalls, les IDSs, les préventions de scan, ...etc. et surtout les
    programmes de journalisation afin d'avoir toutes les traces de pénétrations ou
    d'exploitations ;
    ✓ Expliciter tout les détails qui doivent être intégrés dans le rapport de vulnérabilité
    trouvée : démonstrations pas à pas, prises d'écran, scripts, commandes, vidéos,
    ...etc. Cela aide à clarifier les attentes des deux côtés .
    CAS PRATIQUES : ANDROID REWARDS
    « Android Rewards » est un projet lancé par le géant GOOGLE et qui consiste
    à proposer aux utilisateurs de découvrir des bugs, et d’être rémunéré pour
    cela. Selon la gravité des failles trouvées, qui se classent en quatre catégories
    (Faible risque, risque modéré, haut risque, et risque critique), Google promet
    de verser des primes plus ou moins conséquentes. Les conditions:
    ✓Un bug de faible risque, ne génére aucun gain;
    ✓A partir d’un risque modéré, Google offre 500 dollars, 1000 pour les hauts
    risques, et 2000 pour les failles critiques.;
    ✓D’autres primes viennent s’ajouter si l’utilisateur – et autant dire qu’il devra
    être expérimenté – parvient à proposer un patch;
    ✓Chaque patch permet de doubler la mise, faisant grimper certaines primes
    jusqu’à 4 000 dollars, voire 8 000 dollars selon les conditions;
    CAS PRATIQUES : ANDROID REWARDS
    ✓ Pour les plus téméraires, d’autres primes sont à gagner, avec une cagnotte allant jusqu’à 30 000 dollars s’ils
    arrivent à compromettre la sécurité de TrustZone ou Verified Boot.

    Cette chasse aux bugs ne concerne que les dernières versions du système Android, disponibles sur les Nexus 6
    et Nexus 9. En échange des récompenses données par Google, les hackeurs doivent promettre de ne rien
    divulguer de leurs découvertes dans les 90 jours qui la suivent, histoire que la firme américaine ait le temps de
    mettre en place les correctifs et s’assurer de la sécurité du système.
    CONCLUSION

    Vous aimerez peut-être aussi