Êtes-vous au courant de faux rapports de bug bounty de détournement de clic ? Sinon, vous devriez l’être. Cet article vous mettra au courant et vous aidera à rester vigilant. Que sont les rapports de bug bounty de détournement de clic ? Si nous commençons par décomposer le terme en ses composants, une prime de bogue est un programme offert par une organisation, dans lequel les individus sont récompensés pour avoir trouvé et signalé des bogues logiciels. Ces programmes sont souvent utilisés par les entreprises comme un moyen rentable de trouver et de corriger les vulnérabilités logicielles, améliorant ainsi la sécurité de leurs produits. Ils contribuent également à renforcer la bonne volonté avec la communauté de la sécurité. Pour les chasseurs de primes (ou pirates au chapeau blanc), ils ont la possibilité de gagner de l’argent et d’être reconnus pour leurs compétences. Le détournement de clic est une technique malveillante utilisée pour inciter les utilisateurs à cliquer sur quelque chose qu’ils pensent être sûr, mais qui est en fait dangereux. Par exemple, un pirate pourrait créer un faux bouton qui ressemble au bouton « J’aime » sur un site de médias sociaux. Lorsque les utilisateurs cliquent dessus, ils peuvent sans le savoir aimer une page ou publier du contenu préjudiciable. Bien que cela puisse sembler être une farce inoffensive, le détournement de clic peut être utilisé à des fins plus malveillantes, comme infecter l’ordinateur d’un utilisateur avec des logiciels malveillants ou voler des informations sensibles. Compte tenu des dommages potentiels que le détournement de clic peut causer, les grosses primes qui en signalent les cas peuvent être très bénéfiques pour une organisation. Mon entreprise n’offre pas de primes de bogue. En a-t-il besoin ? Comme un rapport de prime de bogue peut apporter des avantages financiers à la fois au chasseur de primes et à l’organisation, le premier n’attendra souvent pas une invitation à chasser les bogues et adoptera une approche plus proactive. Cela signifie que vous pourriez recevoir des rapports de prime même si vous n’avez pas de programme formel de prime de bogue en place. Cette pratique – où un signalement est accompagné d’une demande d’argent non sollicitée – est souvent qualifiée de « prime à la mendicité ». Donc quel est le problème? Il y a une tendance croissante aux faux rapports de bug bounty parce que les individus utilisent des outils d’analyse pour générer des « problèmes » et les signalent ensuite à autant d’organisations que possible sans tenir compte du risque réel. Alors que certains auront l’air faux, d’autres rapports peuvent être suffisamment sophistiqués pour escroquer une organisation de milliers de dollars. Et en devenant victime, vous ne vous contentez pas de payer une récompense imméritée ; vous montrez également au chasseur de primes que vous avez une expertise limitée en matière de sécurité – une faiblesse qu’il est très susceptible de revenir et d’exploiter. Bien sûr, fermer les portes et ignorer tous les rapports de bug bounty n’est pas la solution. Il y a vraiment de bonnes personnes qui essaient d’aider, et leur découverte peut épargner à votre entreprise beaucoup de chagrin et de dépenses. Alors, comment savoir si un rapport de bug bounty est authentique, en particulier si vous n’êtes pas un professionnel de la sécurité ou si vous n’avez pas d’équipe de sécurité en place ?
Comment identifier un faux rapport de bug bounty de détournement de clic ? Lorsque de tels rapports de personnes se positionnant comme des experts en sécurité apparaissent, il peut être difficile de déterminer ce qui est réel et ce qui est faux, mais il existe des entreprises qui peuvent effectuer des examens des rapports de bug bounty pour vous donner cette tranquillité d’esprit. Ceci est proposé par certains fournisseurs d’analyse de vulnérabilités, qui dans le cadre de leur service, effectueront également une surveillance continue de vos systèmes pour identifier, analyser et corriger plus rapidement les vulnérabilités critiques. Intruder, qui propose un tel service et aide ses clients à découvrir de faux rapports de bug bounty de détournement de clics depuis des années, a récemment constaté une augmentation du nombre de cas. Il y a quelques semaines à peine, l’un de ses clients Vanguard a été informé d’un « rapport de vulnérabilité » anonyme. Le journaliste a affirmé être en mesure de contourner leurs protections contre le détournement de clics en utilisant du JavaScript accessible au public, mais grâce à la connaissance approfondie de l’équipe Vanguard des systèmes du client, il a pu très rapidement radier le rapport comme faux. Il y a aussi quelques choses que vous pouvez rechercher pour repérer vous-même un faux rapport : Pertinence à votre situation. S’il s’agit d’un rapport de prime de bogue de haute qualité, il fera référence à un système, une page ou un programme utilisé par votre organisation et sera précis dans ses détails. Explication de l’impact. Un véritable chasseur de primes de bogues aura fait l’effort de sa récompense et sera en mesure de démontrer que la vulnérabilité qu’il a trouvée vous coûte plus cher que ses « honoraires ». Plus ils peuvent fournir d’informations sur l’impact de la vulnérabilité à la fois en termes de taille et d’implications sur votre site Web et votre organisation, mieux c’est. Structure du rapport. Quelqu’un qui envoie un e-mail de masse à partir de faux rapports de primes de bogues est très susceptible d’utiliser un modèle pour ses rapports et peut utiliser des termes génériques qui ne sont pas pertinents pour votre entreprise. Modalités de paiement. Si un chasseur de primes demande un paiement initial sans fournir de détails sur ses découvertes, c’est un signal d’alarme. Vous pouvez soit répondre en disant que vous ne pouvez pas offrir une prime sans voir d’abord le rapport et voir s’ils répondent, soit vous pouvez obtenir l’aide d’un expert tel qu’Intruder qui vous conseillera sur la meilleure marche à suivre. Respect de vos politiques. Examinez la configuration d’une boîte aux lettres de sécurité spécifiée et introduisez une politique via un fichier security.txt indiquant que vous ne devez examiner que les rapports de prime envoyés à cette adresse. Copieurs. Un autre bon moyen d’identifier une prime de mendicité est de rechercher des cas en ligne où d’autres entreprises reçoivent les mêmes rapports. Un véritable rapport de prime de bogue sera unique à vos systèmes et à votre situation. Être victime d’un faux rapport de prime de bogue pourrait vous faire perdre de l’argent et vous préparer à une avalanche de faux rapports, ou pire, d’attaques, à l’avenir. Évitez de tels problèmes en ayant une analyse automatisée continue et une équipe de professionnels de la sécurité experts à vos côtés, d’une entreprise comme Intruder. Sa capacité à approfondir et à valider les faiblesses potentielles pourrait avoir un impact considérable sur votre entreprise.