← Retour au cours
▶ Aperçu gratuit · Leçon offerte
🏆 ITAG Certifications Tech & IT Pro Bug Bounty — HackerOne + Bugcrowd + CVE (trouver des failles légalement et se faire payer) Leçon 1 / 9

Introduction — Cadre légal du bug bounty et plateformes (HackerOne, Bugcrowd, Intigriti, scopes, safe harbor)

⏱ 30 min · 🎬 Lecon · 🏆 15 XP
🎬
Vidéo en production
Notre équipe pédagogique tourne actuellement cette leçon avec un·e formateur·rice expert·e. Le contenu textuel ci-dessous est complet et utilisable dès maintenant.

Objectifs de la leçon

  • Comprendre le cadre légal qui distingue le bug bounty éthique du piratage illégal
  • Maîtriser les principales plateformes de bug bounty : HackerOne, Bugcrowd, Intigriti, Yeswehack
  • Analyser et interpréter un scope de programme correctement
  • Comprendre la notion de safe harbor et ses implications juridiques
  • Savoir créer un profil attractif et démarrer son premier programme

1. Le Bug Bounty : définition et cadre légal

Le bug bounty est un programme organisé par une entreprise ou organisation qui récompense financièrement les chercheurs en sécurité qui découvrent et signalent de manière responsable des vulnérabilités dans leurs systèmes. Ce concept existe depuis 1995 (Netscape), mais il a explosé dans les années 2010 avec la montée en puissance des plateformes dédiées.

La distinction fondamentale entre un bug bounty hunter légitime et un cybercriminel réside dans l'autorisation explicite. Sans cette autorisation formalisée via un programme bug bounty, tester la sécurité d'un système sans permission constitue une infraction pénale dans pratiquement tous les pays (Computer Fraud and Abuse Act aux États-Unis, article 323-1 du Code pénal français, loi 2011/12 au Cameroun, Code criminel canadien).

1.1 Qu'est-ce que le Safe Harbor ?

Le safe harbor (ou port sécurisé) est une clause juridique incluse dans les politiques de bug bounty qui protège les chercheurs de bonne foi contre des poursuites judiciaires, à condition qu'ils respectent les règles du programme. Un safe harbor typique précise :

  • Les activités couvertes (types de tests autorisés)
  • Les systèmes dans le scope et hors scope
  • Les comportements qui annulent la protection (publication non autorisée, vol de données, etc.)
  • L'engagement de l'entreprise à ne pas poursuivre les chercheurs de bonne foi

Toujours vérifier la présence d'une clause safe harbor avant de commencer tout test. Son absence est un signal d'alarme majeur.

2. Les grandes plateformes de bug bounty

2.1 HackerOne

HackerOne (fondée en 2012, San Francisco) est la plus grande plateforme de bug bounty au monde. Elle héberge plus de 3 000 programmes actifs et a distribué plus de 300 millions de dollars en récompenses. Parmi ses clients : U.S. Department of Defense, Google, Facebook, Spotify, Slack, Shopify, PayPal.

Fonctionnalités clés :

  • Dashboard centralisé pour gérer les soumissions
  • Système de réputation (Signal, Impact) basé sur la qualité des rapports
  • Hacktivity publique : voir les rapports divulgués pour apprendre
  • H1/CTF : compétitions privées sur invitation
  • HackerOne Pentest : engagements de pentest formalisés

2.2 Bugcrowd

Bugcrowd (fondée en 2011, San Francisco) est la principale concurrente de HackerOne. Elle se distingue par son système de triage externalisé (Bugcrowd gère la validation initiale des rapports) et son approche orientée entreprises. Clients notables : Tesla, Mastercard, OpenAI, Pinterest.

Le système de priorité de Bugcrowd utilise les niveaux P1 (Critical), P2 (Severe), P3 (Moderate), P4 (Low), P5 (Informational) basé sur leur taxonomie VRT (Vulnerability Rating Taxonomy).

2.3 Intigriti

Intigriti (fondée en 2016, Belgique) est leader en Europe. Elle propose des programmes publics et privés avec un fort accent sur la communauté européenne. Particulièrement adaptée pour les chercheurs francophones grâce à une interface partiellement disponible en français.

2.4 Yeswehack

Yeswehack est la plateforme française de bug bounty, fondée en 2015. Elle héberge des programmes d'organisations françaises et européennes (Airbus, OVH, BNP Paribas) et propose une interface entièrement en français.

3. Analyser un scope de programme

Le scope définit précisément les systèmes, domaines, applications et comportements qui sont autorisés lors des tests. C'est le document le plus important à lire avant de commencer.

3.1 Éléments d'un scope typique

IN SCOPE :
- *.exemple.com (tous sous-domaines)
- api.exemple.com/v2 (API v2 uniquement)
- Application mobile iOS et Android

OUT OF SCOPE :
- staging.exemple.com
- Systèmes de tiers (hébergeurs, CDN)
- Attaques DoS/DDoS
- Ingénierie sociale
- Tests sur les comptes d'autres utilisateurs réels

3.2 Règles d'engagement communes

  • Ne jamais tester hors scope : même si une vulnérabilité critique est découverte sur un domaine hors scope, le signaler séparément sans preuves exploitées
  • Pas de données réelles : utiliser uniquement ses propres comptes de test
  • Pas de déni de service : éviter les tests qui pourraient impacter la disponibilité
  • Disclosure responsable : ne jamais publier avant que l'entreprise ait eu le temps de corriger (généralement 90 jours)

4. Types de programmes

4.1 Programmes publics vs privés

Les programmes publics sont accessibles à tous les chercheurs inscrits sur la plateforme. La concurrence est forte mais ils permettent de débuter et de construire sa réputation.

Les programmes privés ne sont accessibles que sur invitation. Ils offrent généralement des récompenses plus élevées, moins de concurrence, et des cibles plus complexes. L'accès se débloque en atteignant un certain niveau de réputation sur les programmes publics.

4.2 Programmes VDP (Vulnerability Disclosure Program)

Les VDP (sans récompense financière) permettent de pratiquer légalement sans pression de performance. Parfois un premier pas avant un programme payant complet. Idéal pour les débutants.

5. Exercice pratique : Créer son profil HackerOne

  1. Créer un compte sur hackerone.com avec un pseudonyme professionnel
  2. Compléter le profil : photo, bio, compétences, réseaux sociaux
  3. Lire 5 rapports divulgués publiquement (Hacktivity) dans un domaine de votre choix
  4. Identifier un programme VDP public pour pratiquer sans risque
  5. Lire intégralement la politique du programme choisi et noter les points clés du scope

Conseils d'expert

  • Commencer par les VDP et les programmes jeunes (nouvelles entreprises) : moins de concurrence
  • Rejoindre les communautés Discord de bug bounty (NahamSec, STÖK, InsiderPhD) pour des ressources et du mentorat
  • Tenir un journal de reconnaissance : noter toutes les cibles analysées même sans vulnérabilité trouvée
  • Suivre les CVE récentes dans les technologies utilisées par vos cibles pour adapter votre approche
  • La réputation HackerOne se construit par la qualité, pas la quantité : un bon rapport vaut mieux que 10 rapports N/A

Avertissements importants

  • TOUJOURS obtenir une autorisation explicite avant tout test. Un programme bug bounty actif EST cette autorisation.
  • Ne jamais accéder aux données d'autres utilisateurs réels, même pour prouver une vulnérabilité.
  • Conserver toutes les preuves de votre autorisation (screenshots de la politique, emails)
  • En cas de doute sur le scope, contacter l'équipe sécurité de l'entreprise AVANT de tester
  • Certaines organisations ont des clauses NDA : vérifier les droits de divulgation publique
← Précédente
C'est la première leçon
🔒 Pour continuer
S'inscrire pour la suite →

Continuez le parcours 🚀

La leçon suivante est également gratuite. Découvrez-la sans inscription.

Leçon 2 — Continuer →
🍪 Nous utilisons des cookies essentiels et, avec ton accord, des cookies analytiques. En savoir plus

⚙️ Préférences cookies

Choisis quels cookies tu acceptes — modifiable à tout moment.

🔐 Essentiels (obligatoires)Authentification, session, sécurité. Toujours actifs.
📊 Analytics anonymesMesure d'audience anonymisée — aucune donnée personnelle.
📣 MarketingPublicités ITAG pertinentes sur d'autres sites.
💬 Contactez-nous sur WhatsApp