QUESTIONS FRÉQUENTES

YesWeHack met en lien des organisations ou projets ayant des besoins en matière de sécurité informatique avec une communauté de personnes compétentes.

Première plateforme européenne de Bug Bounty

Bounty Factory vous aide à créer votre programme de Bug Bounty. Il s'agit d'une initiative performante de crowdsourcing qui récompense les personnes aidant à remonter des bugs de sécurité (sites, applications etc.).

Les chercheurs en sécurité de YesWeHack aident les développeurs à sécuriser leur code. Il s'agit d'une stratégie préventive de sécurité.

Un programme de Bug Bounty consiste en un programme de recherche de vulnérabilités qui récompense les chercheurs ayant trouvé des failles de sécurité dans un cadre préalablement défini par le programme de Bug Bounty et son périmètre (scope). Ces vulnérabilités peuvent être récompensées financièrement ou d'une autre manière.

Pour vous aider à créer votre programme de Bug Bounty, utilisez notre "CRÉATEUR DE RÈGLEMENT DE PROGRAMME DE BUG BOUNTY".

Un programme de Bug Bounty permet de tester la sécurité d'un périmètre défini (scope) grâce à la communauté d'experts en sécurité.

Le processus de crowdsourcing de la sécurité repose sur l'expertise d'une communauté de hackers expérimentés, dits "chapeaux blancs" (les chasseurs de bugs), et d'amateurs éclairés.

Un programme de Bug Bounty contient les règles que le chercheur en sécurité devra suivre pour participer et soumettre les vulnérabilités de sécurité.

On doit y trouver le périmètre défini, les règles d'éligibilités des vulnérabilités et également ce qui est hors périmètre.

Vous trouverez des exemples de programmes de Bug Bounty sur notre agrégateur de Bug Bounty : firebounty.com.

Programme privé :
Un programme privé n'est accessible que sur invitation, il permet de sélectionner les participants et leur nombre. Vous pouvez inviter les meilleurs hunters en vous basant sur notre classement. (TOP HUNTERS)  Ainsi vous commencez votre programme de bug bounty progressivement, vous maitrisez la charge au sein de vos équipes et votre budget. Les hunters apprécient les programmes privés, car ils sont les premiers à participer à votre programme et statistiquement, ils ont plus de chance de trouver des bugs.

Programme public :
Un programme public est accessible à tous. Toute la communauté peut soumettre des bugs. Les récompenses que vous faites aux hunters y sont publiées et le montant des primes dévoilé si vous le souhaitez. Un "Hall of Fame"  permet de remercier publiquement les hunters qui ont contribué à votre programme.

Un "Hunter" ("chasseur") est un chercheur en sécurité.

Vous soumettez le processus détaillé d'exploitation des vulnérabilités que vous avez trouvées et les impacts sur les cibles du projet sous forme de rapport. Le fait de joindre des captures d'écran ainsi qu'une démonstration (Preuve de Concept/PoC) permet un meilleur traitement de votre rapport.

En tant que "hunter", rédiger un rapport de vulnérabilités de qualité est important. D'une part, cela permet au dépositaire du programme de valider rapidement la faille trouvée et d'autre part, de vous faire gagner des points de style !

Dans un programme de Bug Bounty, les Hunters recherchent différents types de vulnérabilités. Leurs comptes rendus devront être évalués en fonction de leur clarté et de leur criticité dans le périmètre défini par le programme.

Le montant des récompenses est à l'entière discrétion des utilisateurs, mais il est courant de récompenser un Hunter si son rapport a entraîné un changement dans le code applicatif.

Une fois votre programme lancé en privé ou en public, vous devrez trier et qualifier les bugs remontés par les hunters, attribuer les récompenses et enfin, corriger la faille. Pour être certain de bien maitriser la charge de travail de votre programme de Bug Bounty, nous vous invitons à consulter notre page sur le Program Manager

Les Hunters s'engagent à respecter toutes les règles de divulgation du programme de Bug Bounty à partir du moment où ils ont accepté les termes et conditions de bountyfactory.io et ce, pendant toute la durée de leur inscription au programme. Une faille hors périmètre ne sera pas récompensée et le hunter pourra perdre des points.

Une faille est considérée comme valable lorsqu'elle a été testée et reproduite par le dépositaire et qu'elle est conforme aux règles définies dans le programme de Bug Bounty.

La faille est récompensée en fonction des règles définies dans le programme .

Une "duplicate" est une faille qui a d'ores et déjà été remontée dans le programme. Elle ne peut être considérée comme valide et ne sera pas récompensée. Toutefois, le hunter peut gagner un point.

La récompense minimum est celle indiquée dans le programme, elle sera donnée au hunter lorsque le rapport de faille aura été validé ( Hors "duplicate").

Il n'y a pas de récompense maximum, le montant est à l'entière discrétion du gestionnaire du programme.

Spam -10 points
Bug hors périmètre, Invalide -3 points
Besoin de plus d'infos -1 point
Duplicate bug 1 point
Bug validé et clos 7 points

Chaque récompense rapporte les points suivants :

Entre 1 et 500 € : 15 points
Entre 501 et 2000 € : 25 points
Au-delà de 2000 € 50 points

Un bonus entre 0 et 5 points peut être accordé en fonction de la qualité du rapport et des techniques utilisées.

Si son activité auprès de la plateforme ou de plusieurs plateformes est professionnelle (exercice régulier et lucratif), le Hunter doit disposer d’un statut légal pour son activité, qui peut s’exercer de manière individuelle (exemple, autoentrepreneur) ou en société (EURL, SARL). A défaut d’inscription à un régime juridique adéquat, le Hunter risque d’être poursuivi pour dissimulation d’activité.

Le Hunter doit se rapprocher des autorités administratives compétentes (URSSAF, administration fiscale) afin de connaitre les obligations relatives à son activité et procéder à son inscription et aux diverses formalités administratives. Pour plus d’information, voir le site de l’URSSAF rubrique « Indépendant » : https://www.urssaf.fr/portail/home/independant.html

Au-delà d’un certain niveau de revenu tiré de son activité sur la plateforme ou de plusieurs plateformes, le Hunter pourra être assujetti à la TVA et en conséquence devra facturer, collecter et reverser à l’administration fiscale la TVA afférente à chaque opération. L’administration fiscale applique une franchise de TVA suivant le Chiffre d’affaires annuel du Hunter (32.900 euros en principe pour 2016). Dès lors qu’il est assujetti, le Hunter doit obligatoirement émettre une facture conforme à la réglementation fiscale notamment en y mentionnant son N° de TVA. Le N° de TVA est par principe attribué automatiquement au moment où le hunter adopte un statut professionnel. Les mentions légales obligatoires sur la facture sont prévues à l’article 441-3 du code de commerce et aux articles article 242 nonies et 242 nonies A du code général des impôts - annexe 2.

De plus, toute source de revenu doit faire l’objet d’une déclaration fiscale au titre de l’impôt sur le revenu et le cas échéant, au titre de l’impôt sur les sociétés en fonction du statut légal adopté.
Afin de connaitre ses obligations, le Hunter devra se rapprocher de son centre des impôts pour connaitre les formalités applicables à sa situation et au statut qu’il aura choisi.

BountyFactory n'a en aucun cas accès aux bugs qui sont remontés dans un programme tant qu'il n'a pas été invité en tant que manager. Des dispositifs de sécurité ont été mis en oeuvre afin de cloisonner les droits via plusieurs technologies.
Toutes les vulnérabilités sont chiffrées avant d'être stockées en base de données et seuls les acteurs authentifiés du programme ont accès aux données.

Par ailleurs, YesWeHack a contractualisé avec des prestataires européens soumis aux lois européennes (ou au droit européen ). L'ensemble de l'infrastructure physique de YesWeHack est hébergée dans les data centers sécurisés d'OVH group en Europe dont l'accès physique est sécurisé par divers moyens techniques et de contrôle d'accès.

La société YesWeHack propriétaire de BountyFactory a contractualisé une assurance cyber sécurité afin d'ajouter un outil couvrant les risques cyber et apporter une garantie à ses clients.