Salesforce verse plus de 2 millions de livres sterling en bug bounties

Le géant du logiciel Salesforce a révélé qu’il avait payé aux pirates plus de 2 .8m de dollars (2,05 millions de livres sterling / 2,46 millions d’euros) via son programme de bug bounty sur invitation uniquement en 2021, avec plus de 4 700 vulnérabilités présumées dans ses produits signalées par le biais du système.

Les bug bounties sont maintenant un outil bien accepté et largement utilisé par les entreprises informatiques, bénéficiant des compétences des pirates informatiques pour acheter la tranquillité d’esprit que leurs produits et services sont sécurisés, et Salesforce a été l’une des premières organisations de ce type à lancer un programme de bug bounty en 2015.

Il s’agit de la première mise à jour publique qu’il ait jamais fournie sur son programme de bug bounty, qui a octroyé plus de 12 millions de dollars au total sur plus de 22 000 rapports au cours de cette période.

Chris Evans, RSSI et chief hacking officer chez HackerOne, le partenaire de plate-forme de Salesforce, a déclaré : « Salesforce représente un exemple de premier plan de la façon dont un programme de bug bounty bien géré peut avoir un impact significatif et mesurable sur la posture de sécurité globale d’une entreprise.

« Leur équipe de sécurité va également plus loin en sollicitant de manière proactive les commentaires de la communauté pour améliorer le programme. Non seulement ce dévouement définit un programme de pointe, mais reflète également la maturité globale de Salesforce en matière de sécurité et son engagement à garder une longueur d’avance sur les menaces de sécurité. »

Salesforce a déclaré que le programme avait montré sa valeur en l’aidant à renforcer les efforts de sécurité préventive « de l’intérieur vers l’extérieur », permettant à ses équipes d’ingénierie de mieux comprendre comment les acteurs malveillants opèrent.

« Être capable de comprendre les méthodes utilisées par les pirates pour trouver des vulnérabilités me permet d’utiliser les mêmes méthodes pour mieux sécuriser nos logiciels », a déclaré Anup Ghatage, ingénieur logiciel chez Salesforce.

Le système de Salesforce fonctionne dans un environnement sandbox contrôlé et non productif qui reflète les fonctionnalités réelles des utilisateurs pour permettre aux chasseurs de primes de simuler des attaques sans risquer d’exposer des données client. Tous ses produits et modifications de fonctionnalités passent par le processus après les tests internes et avant le déploiement.

« J’ai été attiré par le fait de devenir un hacker éthique après avoir commencé ma carrière en tant que développeur », a déclaré Inhibitor181, l’un des hackers qui participe au programme de bug bounty de Salesforce.

« Non seulement il est plus stimulant et moins monotone d’utiliser mes compétences en programmation pour pirater légalement les produits d’entreprises mondiales, mais cela me permet également de faire ma part dans la prévention de la cybercriminalité. Tous les pirates ne sont pas mauvais. »

À l’avenir, Salesforce prévoit un certain nombre d’évolutions de son programme, en s’engageant avec un plus grand nombre de pirates informatiques pour protéger son portefeuille en expansion et en faisant progresser les tests de ses produits alimentés par des pirates informatiques dans le cycle de développement global.

Dans le cadre de cette dernière initiative, elle a récemment introduit des promotions mensuelles ciblées offrant des primes multipliées – jusqu’à trois fois le paiement standard – en échange de rapports vérifiés sur un produit spécifique. Son application Trailhead Slack, qui a été officiellement lancée lors de l’événement Dreamforce en septembre, a été « attaquée » de cette manière l’été dernier.

La société a déclaré : « Salesforce s’engage à faire progresser son programme de bug bounty et à s’associer à des hackers éthiques. La capacité de trouver et de corriger les vulnérabilités avant que les produits ne soient déployés auprès des utilisateurs est au cœur des initiatives de sécurité plus larges de Salesforce et du maintien de la confiance entre ses clients, ses partenaires et l’ensemble de son écosystème.

La croissance du programme de Salesforce – qui, bien qu’il ait sept ans, a maintenant versé les deux tiers de ses primes depuis 2019 – se reflète dans le « marché » plus large du bug bounty, pour lequel 2021 a également été une année de croissance exceptionnelle.

Les données de Bugcrowd, un spécialiste du bug bounty crowdsourcé, ont montré que les soumissions et les paiements valides pour les vulnérabilités les plus critiques ont considérablement augmenté sur sa plate-forme l’année dernière, en particulier dans le secteur des services financiers. Les paiements dans le secteur des logiciels, quant à eux, ont augmenté de 73%, a-t-il déclaré.

Ce pic reflète probablement la transformation numérique provoquée par la pandémie, mais Bugcrowd pense également que les forces du marché peuvent être en jeu. Il a déclaré que la découverte de vulnérabilités critiques offre désormais une valeur tangible aux acheteurs et qu’il incombe donc aux éditeurs de logiciels, tels que Salesforce, de les trouver.