Le bug bounty, ou chasse aux bugs ou encore prime aux bogues, est un programme de récompenses pour les personnes qui découvrent et rapportent les bugs d'un site web. En d'autres termes, une entreprise, telle que Facebook ou Google, permet aux hackers bienveillants (souvent appelés white hats ou chapeaux blancs) de lui rapporter les vulnérabilités qui l'affectent en échange d'une récompense.

La méthode n'est certes pas nouvelle : elle a été bien éprouvée et a pu démontrer toute son efficacité. Alors pourquoi n'avons nous pas encore de programme sur tous nos sites web ? C'est à dire que tout le monde n'est pas Facebook ou Google, dans le sens où il n'a pas une communauté de personnes prête à répondre à leur propre campagne de bug bounty.

Autre point : il faut créer un cadre légal pour entourer cette pratique, aussi bien pour se protéger d'abus, que pour protéger ceux qui donnent de leur temps à traquer les bugs. Et tout cela pour quels bénéfices au juste ? Est-ce qu'une telle chasse est vraiment nécessaire dans notre univers cloud natif ?

Pour répondre à toutes ces questions, j'ai le plaisir de recevoir le chef de l'Internet : Korben. Manuel Dorne, alias Korben, est en effet le co-fondateur de YESWEHACK, une plateforme de bug bounty bien connues des spécialistes en sécurité. Il nous emmène à la découverte de ces pirates en quête des trésors du web !

Support the show (https://www.patreon.com/electromonkeys)