Depuis 1995 et Netscape, les entreprises informatiques gèrent une partie de leur sécurité informatique en organisant des chasses aux vulnérabilités et en rémunérant les hackers pour leurs découvertes. Ces procédés, appelés Bug Bounty, étaient menés entreprise par entreprise ou par des organismes américains. Yes We Hack, site de mise en relation entre professionnels de la sécurité informatique et entreprises de toutes tailles (de la toute petite PME aux très grands comptes) a décidé de lancer sa propre plate-forme pour la chasse aux vulnérabilités. Baptisée Bounty Factory, elle permet de regrouper en un seul endroit toutes les demandes de chasse aux bugs d’un côté, et tous les chercheurs intéressés de l’autre, le tout encadré clairement et de façon légale. Chaque entreprise cliente définit le paramètre de recherche et les modalités, en interdisant par exemple le «
Jusqu’à la fin février, Bounty Factory est en bêta privé, avec une centaine de spécialistes de la sécurité invités à participer ; elle passera en mode public par la suite, avec un système de cooptation pour intégrer de nouveaux hackers. Au gré du client, les recherches de failles pourront se faire en ouvrant l’accès à tous les membres ou en sélectionnant certains chercheurs. Bounty Factory prend un pourcentage sur les transactions (et récompenses) réalisées sur la plate-forme, sans vouloir pour l’instant en révéler le montant – hormis une fourchette « entre 20 et 25 % » lancée sur le ton de la plaisanterie en conférence de presse ! Parmi les clients de Bounty Factory, outre le moteur de recherche Qwant, certaines banques et start-up se sont déjà déclarées intéressées.