Qu'est-ce qu'un programme de primes de bogue ?

Qu'est-ce qu'un programme de primes de bogue ?. Avec plus de 1,5 milliard de dollars de crypto-monnaie volée en 2018, l'industrie s'est avérée être un paradis pour les pirates informatiques. Tous les propos de la technologie blockchain étant sécurisée ne le rend pas à l'épreuve des balles. Et en ce qui concerne les logiciels secondaires comme les fournisseurs de portefeuille et les échanges, beaucoup restent terriblement vulnérables. C'est là que des initiatives préventives comme un programme de primes de bogues entrent en jeu.
Qu'est-ce qu'un programme de primes de bogue ?
En réalité, « bug bounty » est devenu le mot à la mode de jour. D'autres noms pour ce type d'activité de cybersécurité sont le piratage éthique, le piratage blanc, le programme de récompenses de vulnérabilité (VRP), etc.
Cependant, la principale différence entre un programme de primes de bugs et un piratage de chapeau blanc est que le programme est initié par l'entreprise elle-même. Ils invitent activement les pirates à rechercher des défauts dans leur système et à les compenser quand ils le font.
De nombreux sites Web et fournisseurs de logiciels paient une saine rémunération aux pirates éthiques qui trouvent des défauts et les signalent. Les rapports de bogues doivent contenir suffisamment d'informations pour que l'entreprise puisse reproduire la vulnérabilité elle-même.
La compensation est fonction de l'ampleur et de l'ampleur de la vulnérabilité et de l'impact qu'elle pourrait avoir. Selon des sources, Mozilla payait généralement des frais forfaitaires de 3 000$par prime, alors que Facebook a payé jusqu'à 20 000$. Apple a même dépouillé jusqu'à 200 000$pour un défaut dans ses composants de microprogramme de démarrage sécurisé iOS.
Arrêter les pirates avant que les dégâts ne soient faits
Il est essentiel de garder une longueur d'avance sur les pirates. C'est pourquoi les sociétés blockchain devraient toujours avoir une sorte de programme de primes de bogue ou une évaluation continue de la sécurité Crowdsource (OCSA) en place. Cependant, selon la recherche sur les 100 premiers échanges криптовалюты, seulement 13% d'entre eux le font.
Les programmes de primes de bogue sont généralement très efficaces, mais ils peuvent être controversés. Après tout, vous encouragez essentiellement les activités illégales - ou pire, encouragez les pirates qui volent déjà des fonds pour gagner une vie supplémentaire.
Cela dit, un programme de primes de bogue peut également déboucher sur des emplois et des relations durables, comme c'est le cas avec les spécialistes de la cybersécurité Red4Sec et NEO.
Un exemple de piratage éthique en tant que service
Selon les co-fondateurs de Red4Sec, Fernando Díaz Toledano et Jaime Kindelan, les programmes de primes de bugs sont encore plus pertinents dans blockchain que les applications Internet traditionnelles. Pourquoi ? En raison de l'immuabilité de blockchain.
Jaime explique : « La principale différence est que si vous commettez une erreur avec blockchain, elle est immuable. Donc, si vous trouvez un problème, il est beaucoup plus difficile à résoudre. La blockchain est conçue pour ne pas être modifiée. Il est donc beaucoup plus important de prendre conscience de tous les problèmes potentiels dans la phase initiale. »
Fernando fait écho à ses mots : « Si vous trouvez un défaut dans la blockchain, il n'est pas si facile de le changer. Il est déjà écrit dans la blockchain, ce n'est pas comme le web. Comme pour les hacks, une fois que les fonds ont disparu, ils ont disparu. Il est donc beaucoup plus essentiel de se concentrer sur la sécurité et la prévention dans la phase initiale. »
C'est là que le piratage éthique (ou primes de bug) entre en jeu. L'équipe Red4Sec offre depuis de nombreuses années des services traditionnels de cybersécurité. Mais, passionnés par les nouvelles technologies et toujours en quête d'en savoir plus, ils ont commencé à analyser les blockchains en 2017 et ont décidé de se concentrer sur NEO.
Jaime se souvient : « Grâce à notre analyse, nous avons trouvé quelques vulnérabilités importantes et nous les avons signalées à NEO. Ils ont aimé comment nous l'avons fait, ils nous ont donné une compensation et un essai de trois mois surveillant leur blockchain. Depuis lors, nous avons continué de travailler avec eux et avec les développeurs de la Ville de Zion. »
Fernando interrompt : « Nous avons une très bonne relation avec eux maintenant, nous sommes en fait membres de la Ville de Sion et nous sommes également membres de l'équipe de développement du noyau NEO. Nous sommes très proches. »
Mettez-vous dans la peau d'un pirate
Je demande quelle est la première chose qu'ils font quand ils cherchent des moyens de pirater une blockchain. Et pour les lecteurs qui ne le savaient pas, c'est un mythe que les blockchains ne peuvent pas être piratés. C'est juste que les compromis entre l'effort et la récompense sont plus élevés sur certaines blockchains que d'autres.
Le piratage de la blockchain Bitcoin, par exemple, est techniquement possible, mais cela nécessiterait les ressources d'un petit pays et le paiement serait inférieur à la dépense. Les blockchains plus petites et certainement les blockchains privés sont des cibles beaucoup plus faciles.
Jaime poursuit : « Ce que nous faisons, c'est analyser le code de l'application, le contrat intelligent ou la blockchain elle-même et nous assurer qu'il n'y a pas de failles de sécurité.
« Ensuite, nous faisons une phase d'audit.... Nous nous sommes mis dans la peau du pirate et essayons de réfléchir à la façon dont un pirate attaquerait et comment ils voleraient l'argent. Une fois que nous avons trouvé le chemin, nous le corrigeons de sorte que la fenêtre d'opportunité disparaisse. »
Réflexions finales
Les primes de bugs, le piratage éthique, et tout type de programme qui trouve des défauts avant les pirates est vital pour la sécurité continue et l'évolution de la technologie blockchain.
Des entreprises comme Red4Sec ont certainement beaucoup de travail compte tenu du volume de violations et de piratages dans les échanges, blockchains et smart contracts. Cependant, même en contemplant une surface d'attaque de plus en plus grande, cette équipe n'est pas dissuadée. Ils croient toujours que blockchain est l'avenir et que toutes les applications finiront par y migrer.
Et bien qu'il y ait beaucoup de violations, Fernando termine sur une note positive : « Quand nous avons commencé dans la sécurité blockchain, nous avons certainement vu beaucoup de projets qui étaient laxistes avec leur sécurité et n'ont pas assez regardé. Nous avons vu beaucoup plus de sensibilisation à la sécurité ces derniers temps, et cela s'améliore certainement. »