Bug bounty
Programme de récompenses financières offert par une organisation aux chercheurs en sécurité qui découvrent et signalent des vulnérabilités dans ses systèmes.
Un bug bounty est un programme de récompenses financières proposé par une organisation (entreprise, projet open source, administration) aux chercheurs en sécurité indépendants (hackers éthiques) qui découvrent et signalent de manière responsable des vulnérabilités dans ses systèmes. Les programmes de bug bounty ont distribué plus de 230 millions USD de récompenses en 2024, et le coût de correction d'une faille par ce biais est 10 fois inférieur à une découverte post-incident.
Définition technique
Fonctionnement et acteurs
Un programme de bug bounty définit un périmètre (scope) de systèmes testables, une grille de récompenses par criticité (typiquement : 100-500 USD pour Low, 500-2 000 USD pour Medium, 2 000-10 000 USD pour High, 10 000-100 000 USD pour Critical), et des règles d'engagement (pas de déni de service, pas d'accès aux données utilisateurs, test uniquement sur environnements autorisés).
Les plateformes intermédiaires (HackerOne, Bugcrowd, YesWeHack en Europe) structurent l'écosystème : vérification d'identité des chercheurs, triage des rapports, gestion des paiements, et médiation. Elles hébergent des programmes publics (tout chercheur peut participer) et privés (sur invitation, pour les cibles sensibles).
Divulgation responsable
Le processus de divulgation responsable (responsible disclosure) impose un délai entre le signalement privé et la publication publique, laissant le temps à l'éditeur de corriger. Le standard est 90 jours (Google Project Zero). Si l'éditeur ne corrige pas dans ce délai, le chercheur peut publier. Cette mécanique incite à la réactivité : une CVE publiée avec exploit avant le patch est un risque critique.
Enjeux actuels
Bug bounty et projets open source
Les grands projets open source (Linux, Kubernetes, Chrome, Firefox) disposent de programmes de bug bounty financés par des fondations ou des sponsors. Les projets communautaires plus modestes (comme OpenClaw) en sont souvent dépourvus faute de budget, créant un angle mort sécurité. L'initiative Huntr et le programme de GitHub Security Lab tentent de combler ce vide pour les projets open source critiques.
Indicateur de maturité en due diligence
En contexte M&A, l'existence d'un programme de bug bounty est un signal positif fort : il démontre que l'organisation prend la sécurité au sérieux, dispose d'un processus de remédiation, et entretient une relation constructive avec la communauté sécurité. Son absence, comme dans le cas OpenClaw (« la sécurité n'est pas une priorité » selon le créateur), est un indicateur de risque qui doit être compensé par un budget de remédiation post-acquisition.
Standards et spécifications
ISO/IEC 29147:2018
Lignes directrices pour la divulgation de vulnérabilités (vulnerability disclosure)
CERT/CC Vulnerability Disclosure Policy
Référentiel de coordination de divulgation responsable du CERT Carnegie Mellon
Questions fréquentes
Comment fonctionne un programme de bug bounty ?
L'organisation définit un périmètre (scope) : quels systèmes peuvent être testés, quels types de vulnérabilités sont recherchés, et les récompenses associées par niveau de criticité (informational, low, medium, high, critical). Les chercheurs en sécurité (hackers éthiques) testent les systèmes dans ce cadre et soumettent des rapports détaillés.
L'équipe sécurité de l'organisation trie les rapports (triage), valide les vulnérabilités, les corrige, puis verse la récompense. Les plateformes intermédiaires (HackerOne, Bugcrowd, YesWeHack) gèrent le processus : vérification d'identité des chercheurs, triage initial, paiement, et médiation en cas de litige. Le cycle complet dure 1-4 semaines.
Combien coûte un programme de bug bounty ?
Le budget annuel varie selon la taille de l'organisation : 10-50k USD pour une startup (programme privé, 20-50 chercheurs invités), 100-500k USD pour une entreprise mid-market, 1-10M USD pour les grandes entreprises (Google, Microsoft, Apple). Les plateformes facturent 20-25% de frais sur les récompenses versées.
Le ROI est favorable : le coût moyen de correction d'une faille via bug bounty (récompense + remédiation) est 10x inférieur au coût d'une découverte post-breach (investigation forensique + notification + amendes RGPD + impact réputationnel). Google a versé 12M USD en récompenses en 2023, évitant des failles qui auraient coûté 10-100x plus en cas d'exploitation.
Pourquoi l'absence de bug bounty est-elle un red flag en due diligence ?
Un projet logiciel sans programme de bug bounty ni politique de divulgation responsable signale un manque de maturité sécurité. Les chercheurs qui découvrent une faille n'ont pas de canal officiel pour la signaler, ce qui augmente le risque de divulgation publique non coordonnée (full disclosure) ou d'exploitation silencieuse.
Dans le cas d'OpenClaw, l'absence de bug bounty a contribué à l'accumulation de 10 CVE critiques. Les chercheurs ont dû publier leurs découvertes via des canaux non officiels, créant une pression publique au lieu d'un processus de correction coordonné. En due diligence, c'est un indicateur que la sécurité n'est pas une priorité de l'organisation.