{"id":82,"date":"2019-02-19T09:00:22","date_gmt":"2019-02-19T09:00:22","guid":{"rendered":"https:\/\/blog-github-com-preprod.go-vip.co\/fr\/?p=82"},"modified":"2019-08-02T15:36:15","modified_gmt":"2019-08-02T15:36:15","slug":"github-souffle-les-cinq-bougies-de-son-programme-bug-bounty","status":"publish","type":"post","link":"https:\/\/github.blog\/fr\/2019-02-19-github-souffle-les-cinq-bougies-de-son-programme-bug-bounty\/","title":{"rendered":"GitHub souffle les cinq bougies de son programme Bug Bounty!"},"content":{"rendered":"

En 2014, GitHub a lanc\u00e9 son programme permettant de r\u00e9compenser les chercheurs ind\u00e9pendants en s\u00e9curit\u00e9 informatique qui ont aid\u00e9 GitHub \u00e0 prot\u00e9ger ses utilisateurs\u00a0: Security Bug Bounty<\/span><\/a>. <\/span><\/p>\n

Au cours de ces cinq derni\u00e8res ann\u00e9es, ces chercheurs ont fait preuve d\u2019ing\u00e9niosit\u00e9 et ont fourni un travail acharn\u00e9. Et l\u2019ann\u00e9e derni\u00e8re n\u2019aura pas d\u00e9rog\u00e9 \u00e0 la r\u00e8gle\u00a0: 165\u00a0000 dollars ont \u00e9t\u00e9 revers\u00e9s aux chercheurs au travers du programme bug bounty public <\/i>de GitHub. <\/span><\/p>\n

Ce programme fait partie des nombreuses initiatives men\u00e9es par GitHub en collaboration avec les chercheurs. En 2018, les subventions de recherches, les programmes bug bounty<\/i> priv\u00e9s et un \u00e9v\u00e9nement live-hacking auront permis \u00e0 la \u00ab\u00a0maison des d\u00e9veloppeurs\u00a0\u00bb de toucher encore plus de talents en s\u00e9curit\u00e9 informatique. <\/span><\/p>\n

Ces diff\u00e9rentes m\u00e9thodes de collaboration avec des chercheurs ind\u00e9pendants ont permis \u00e0 GitHub de franchir un cap important\u00a0: en 2018, plus de 250\u00a0000 dollars<\/b> leur ont \u00e9t\u00e9 vers\u00e9s.<\/span><\/p>\n

GitHub revient sur les grandes nouveaut\u00e9s de l\u2019ann\u00e9e pass\u00e9e et pr\u00e9sente \u00e9galement les \u00e9volutions majeures de son programme\u00a0: une protection juridique compl\u00e8te pour les chercheurs, davantage de produits et sites GitHub pouvant b\u00e9n\u00e9ficier de r\u00e9compenses, et la r\u00e9vision \u00e0 la hausse de ces derni\u00e8res. <\/span><\/p>\n

2018, une ann\u00e9e forte en annonces <\/span><\/strong><\/a><\/h1>\n

Bourse de recherche pour la gestion d\u2019acc\u00e8s aux API REST et GraphQL <\/span><\/strong><\/p>\n

Depuis le lancement en 2017 de son programme de bourses de recherche, GitHub cherche \u00e0 collaborer avec des sp\u00e9cialistes de ses produits. Mi-2018, @kamilhism<\/span><\/a> a soumis une s\u00e9rie de vuln\u00e9rabilit\u00e9s au programme bug bounty<\/i><\/b> public, d\u00e9montrant son expertise dans la logique d\u2019autorisation des API REST et GraphQL. Pour accompagner Kamil dans ses futures recherches, GitHub lui a offert une subvention fixe pour proc\u00e9der \u00e0 un audit syst\u00e9matique de la logique d\u2019autorisation des API. L\u2019excellence de l\u2019audit r\u00e9alis\u00e9 par Kamil a permis de d\u00e9couvrir et de corriger sept autres failles d\u2019autorisation dans les API de la premi\u00e8re plateforme des d\u00e9veloppeurs.<\/span><\/p>\n

H1-702<\/span><\/strong><\/p>\n

Au mois d\u2019ao\u00fbt, GitHub a particip\u00e9 \u00e0 l\u2019\u00e9v\u00e9nement H1-702<\/span><\/a> organis\u00e9 par HackerOne \u00e0 Las Vegas. Tout au long d\u2019une soir\u00e9e de live-hacking<\/i>, plus de 75 chercheurs, parmi les meilleurs de la plateforme HackerOne, se sont concentr\u00e9s sur les produits GitHub. Les r\u00e9sultats ont \u00e9t\u00e9 au rendez-vous, et GitHub a ainsi vers\u00e9 pr\u00e8s de 75\u00a0000\u00a0dollars pour 43 vuln\u00e9rabilit\u00e9s incluant 6 vuln\u00e9rabilit\u00e9s de gravit\u00e9 \u00e9lev\u00e9e dans GitHub Enterprise Server. Cet \u00e9v\u00e9nement a permis \u00e0 GitHub de faire la connaissance de ces experts et de recevoir un excellent retour d\u2019information quant \u00e0 la fa\u00e7on dont la plateforme peut am\u00e9liorer son programme bug bounty. <\/span><\/p>\n

GitHub Actions, un programme bug bounty priv\u00e9<\/strong> <\/span><\/p>\n

En octobre 2018, GitHub a lanc\u00e9 une version b\u00eata publique limit\u00e9e de GitHub\u00a0Actions. Dans ce cadre, la plateforme a \u00e9galement mis en place un programme priv\u00e9 de chasse aux failles en vue de compl\u00e9ter son vaste programme d\u2019\u00e9valuation de la s\u00e9curit\u00e9. GitHub a envoy\u00e9 plus de 150 invitations \u00e0 des chercheurs ayant particip\u00e9 au programme priv\u00e9 de l\u2019ann\u00e9e pr\u00e9c\u00e9dente, \u00e0 l\u2019ensemble des participants de plateforme H1-702 et \u00e0 plusieurs chercheurs qui avaient pris part \u00e0 leur programme public. GitHub a ainsi d\u00e9couvert une vuln\u00e9rabilit\u00e9 de gravit\u00e9 moyenne dans GitHub\u00a0Actions, ainsi qu\u2019un certain nombre de vuln\u00e9rabilit\u00e9s de faible gravit\u00e9.<\/span><\/p>\n

GitHub a \u00e9galement organis\u00e9 des sessions de questions-r\u00e9ponses publiques pour permettre \u00e0 l\u2019\u00e9quipe de s\u00e9curit\u00e9 de GitHub de rencontrer les chercheurs. Ces rencontres constituent un excellent moyen de cr\u00e9er une communaut\u00e9 et de mutualiser les connaissances. Deux des chercheurs, @not-an-aardvark<\/span><\/a> et @ngaloggc<\/span><\/a>, ont pr\u00e9sent\u00e9 leurs contributions et expliqu\u00e9 en d\u00e9tail leur mani\u00e8re d\u2019approcher une cible.<\/span><\/p>\n

Des am\u00e9liorations dans le processus de travail<\/span><\/strong><\/p>\n

GitHub a d\u00e9j\u00e0 partag\u00e9 des informations d\u00e9taill\u00e9es concernant son processus de travail interne sur la chasse aux failles<\/span><\/a> pour l\u2019ann\u00e9e 2017, et a depuis perfectionn\u00e9 le processus. Les outils comme le ChatOps ont continu\u00e9 d\u2019\u00e9voluer au cours de l\u2019ann\u00e9e \u00e9coul\u00e9e, et GitHub a identifi\u00e9 des opportunit\u00e9s pour rationaliser le processus. Mais les changements ne se limitent pas \u00e0 l\u2019aspect technique. Jusqu\u2019\u00e0 pr\u00e9sent, la \u00ab\u00a0maison des d\u00e9veloppeurs\u00a0\u00bb dispose d\u2019un syst\u00e8me \u00ab\u00a0d\u2019ing\u00e9nieur de garde\u00a0\u00bb charg\u00e9 de traiter chaque jour les contributions de failles identifi\u00e9es. \u00c0 ce syst\u00e8me a \u00e9t\u00e9 ajout\u00e9e une r\u00e9union hebdomadaire avec l\u2019ensemble des membres de l\u2019\u00e9quipe de s\u00e9curit\u00e9 applicative pour examiner l\u2019\u00e9tat des contributions. Ces r\u00e9unions permettent \u00e0 l\u2019\u00e9quipe de s\u2019assurer qu\u2019aucune demande n\u2019est bloqu\u00e9e, que les travaux sont correctement class\u00e9s par ordre de priorit\u00e9 par les \u00e9quipes d\u2019ing\u00e9nieurs en fonction de leur niveau de gravit\u00e9, et que les chercheurs sont r\u00e9guli\u00e8rement inform\u00e9s de la situation de leurs soumissions.<\/span><\/p>\n

Le d\u00e9lai n\u00e9cessaire pour valider une soumission et la router vers l\u2019\u00e9quipe d\u2019ing\u00e9nierie comp\u00e9tente en vue de lancer les travaux de rem\u00e9diation constitue l\u2019une des m\u00e9triques cl\u00e9s du programme. Les am\u00e9liorations apport\u00e9es au processus de travail ont port\u00e9 leurs fruits, et GitHub a consid\u00e9rablement r\u00e9duit le d\u00e9lai de triage \u00e0 19\u00a0heures en moyenne au lieu de 4 jours en 2017. De m\u00eame, le d\u00e9lai moyen de r\u00e9solution est pass\u00e9 de 16 \u00e0 6 jours. \u00c0 titre d\u2019information, une contribution est consid\u00e9r\u00e9e comme \u00ab\u00a0r\u00e9solue\u00a0\u00bb lorsque le probl\u00e8me a \u00e9t\u00e9 corrig\u00e9, ou s\u2019il a \u00e9t\u00e9 prioris\u00e9 avec suivi par l\u2019\u00e9quipe d\u2019ing\u00e9nierie comp\u00e9tente.<\/span><\/p>\n

L\u2019objectif \u00e9tait de pouvoir r\u00e9pondre aux chercheurs en moins de 24 heures, et il a \u00e9t\u00e9 atteint. Un dernier d\u00e9lai a \u00e9t\u00e9 r\u00e9duit, et non des moindres pour les chercheurs\u00a0: le d\u00e9lai de r\u00e9compense est pass\u00e9 d\u2019une moyenne de 17 jours en 2017 \u00e0 11 actuellement. GitHub assure ainsi son implication dans ce programme et promet de continuer \u00e0 r\u00e9duire les d\u00e9lais pour l\u2019ann\u00e9e prochaine. <\/span><\/p>\n

De nouvelles initiatives pour 2019<\/span><\/strong><\/p>\n

Le programme Bug Bounty fonctionne avec succ\u00e8s depuis cinq ans, mais de nouvelles am\u00e9liorations peuvent y \u00eatre apport\u00e9es. C\u2019est gr\u00e2ce aux retours des chercheurs que GitHub annonce aujourd\u2019hui trois changements majeurs pour 2019\u00a0: <\/span><\/p>\n