de bogues , notamment ceux liés à des failles de sécurité . En l'absence de récompense financière, il s'agit d'un programme de divulgation de vulnérabilités .
Ces programmes, que l'on peut considérer comme une forme de test d'intrusion participatif , autorisent des personnes non affiliées – appelées chasseurs de primes aux bogues , hackers éthiques ou « white hats » – à identifier et signaler les vulnérabilités . Si les développeurs découvrent et corrigent les bogues avant que le grand public n'en ait connaissance, les cyberattaques qui auraient pu les exploiter deviennent impossibles
Les participants aux programmes de primes aux bogues proviennent de nombreux pays. Si la récompense financière est une motivation première, d'autres facteurs entrent en jeu. Les pirates informatiques pourraient gagner bien plus en vendant des vulnérabilités zero-day non divulguées à des courtiers, des sociétés de logiciels espions ou des agences gouvernementales plutôt qu'aux éditeurs de logiciels. S'ils recherchent des vulnérabilités en dehors du cadre de ces programmes, ils s'exposent à des poursuites judiciaires en vertu des lois sur la cybercriminalité . L'ampleur de ces programmes a connu une croissance spectaculaire à la fin des années 2010.
Certaines grandes entreprises et organisations gèrent leurs propres programmes de primes aux bogues, notamment Microsoft, Facebook, Google, ] . D' autres des primes des plateformes telles que HackerOne .
Alfred Charles Hobbs a été payé 20 000 $US (ajusté à l’inflation) pour crocheter une serrure. En 1983, la société Hunter & Ready a publié une publicité avec le slogan « Gagnez une prime si vous trouvez un bug », offrant une Volkswagen Coccinelle en récompense aux hackers qui découvriraient des bugs dans son système d’exploitation VRTX . En 1995, Netscape a lancé son programme de primes aux bogues pour la version bêta de son navigateur Netscape Navigator 2.0. Par la suite, d’autres entreprises ont ouvert leurs propres programmes de primes aux bogues. Ces programmes ont été complétés par des plateformes de crowdsourcing qui ont facilité la recherche de primes aux bogues par les professionnels.Motivation

Malgré l'objectif des développeurs de fournir un produit parfaitement fonctionnel, la quasi-totalité des logiciels contiennent des bogues. Si un bogue crée un risque pour la sécurité, on parle de vulnérabilité ; si le fournisseur n'en a pas connaissance, il s'agit d'une faille zero-day . Le potentiel d' exploitation des vulnérabilités par des acteurs malveillants est variable. Certaines sont totalement inutilisables, tandis que d'autres peuvent être utilisées pour perturber le système par une attaque par déni de service (DoS) . Les plus importantes permettent à l'attaquant d' injecter et d'exécuter son propre code, à l'insu de l'utilisateur. Les conséquences d'une telle attaque peuvent être graves .
Les organisations souhaitant améliorer leur sécurité testent leurs systèmes pour vérifier leur vulnérabilité. Nombre d'entre elles font appel à des services externes pour réaliser des tests d'intrusion , mais cela ne suffit pas à identifier toutes les failles, ce qui incite certaines entreprises à compléter leurs efforts par des informations issues du crowdsourcing. Beaucoup d'entreprises se montrent sceptiques quant aux rapports de tiers, craignant que ces programmes n'accroissent les activités malveillantes, ne soient trop coûteux ou ne génèrent des rapports frauduleux. Par ailleurs, les programmes de primes aux bogues peuvent être ignorés en raison de la confiance accordée à la sécurité de leurs applications ou au profit d'autres mesures de sécurité. Certaines études ont montré que le coût par vulnérabilité découverte est bien inférieur via les programmes de primes aux bogues qu'en recrutant des ingénieurs logiciels pour la recherche de vulnérabilités.
Récompenses
Le montant de la récompense offerte varie en fonction de facteurs tels que la taille de l'entreprise, la difficulté à trouver la vulnérabilité et la gravité des conséquences potentielles de son exploitation. Les chasseurs de bugs les plus performants gagnent souvent plus que les développeurs de logiciels . De nombreux programmes de primes aux bogues sont axés sur les applications web .
En août 2013, un étudiant palestinien en informatique a signalé une faille de sécurité permettant à quiconque de publier une vidéo sur un compte Facebook quelconque. D'après les échanges de courriels entre l'étudiant et Facebook, il a tenté de signaler cette faille via le programme de primes aux bogues de Facebook, mais ses instructions ont été mal comprises par les ingénieurs de la plateforme. Par la suite, il a exploité cette faille en utilisant le profil Facebook de Mark Zuckerberg , ce qui a conduit Facebook à refuser de lui verser une prime.

Facebook a commencé à rémunérer les chercheurs qui découvrent et signalent des failles de sécurité en leur remettant des cartes de débit « White Hat » personnalisées qui peuvent être rechargées à chaque fois que les chercheurs découvrent de nouvelles failles.
En 2016, Uber a subi un incident de sécurité lorsqu'un individu a accédé aux informations personnelles de 57 millions d'utilisateurs à travers le monde. Cet individu aurait exigé une rançon de 100 000 $ pour détruire les données plutôt que de les publier. Lors d'une audition au Congrès, le responsable de la sécurité des systèmes d'information (RSSI) d'Uber a indiqué que l'entreprise avait vérifié la destruction des données avant de verser la rançon. Le RSSI d'Uber a regretté de ne pas avoir divulgué l'incident en 2016. En réponse, Uber a collaboré avec HackerOne pour mettre à jour les règles de son programme de primes aux bogues afin d'expliquer les principes de la recherche et de la divulgation de vulnérabilités de bonne foi.
Yahoo! a été vivement critiqué pour avoir offert des T-shirts Yahoo! en récompense aux chercheurs en sécurité ayant découvert et signalé des failles de sécurité dans son système. Lorsqu'Ecava a lancé le premier programme de primes aux bogues connu pour les systèmes de contrôle industriel (ICS) en 2013, l'entreprise a été critiquée pour avoir proposé des bons d'achat plutôt que de l'argent, ce qui, selon elle, n'incite pas les chercheurs en sécurité. Ecava a expliqué que le programme se voulait initialement restrictif et axé sur la sécurité des utilisateurs d' IntegraXor SCADA , son logiciel ICS.
Certains programmes de primes aux bogues exigent que les chercheurs signent un accord de confidentialité pour recevoir une rémunération ou bénéficier d'une protection juridique. Cette pratique a été critiquée pour des raisons éthiques, car elle permet à l'entreprise de dissimuler les vulnérabilités.
Rapports
Comme les soumissions sont ouvertes à tous, un grand nombre de rapports (estimés entre 50 et 70 % pour HackerOne , la plus grande plateforme) sont invalides. Une étude a révélé que la majorité des rapports étaient rejetés car il s'agissait de vulnérabilités déjà connues, suivis des faux positifs , des rapports hors sujet, des doublons et des rapports pour absence de preuve de concept . Une autre étude a constaté que les programmes de primes offrant des récompenses plus importantes recevaient un plus grand nombre de rapports valides. L'une des causes de l'invalidité des rapports est qu'il peut être plus facile pour les hackers de soumettre un rapport que de mener des recherches supplémentaires pour vérifier leur solution. Certaines plateformes de primes aux bogues, dont HackerOne, ont mis en place des mesures pour réduire le nombre de rapports invalides. Les programmes de primes aux bogues peuvent être réservés aux chercheurs en sécurité de confiance sur invitation seulement, plutôt qu'ouverts au public. Pour valider la vulnérabilité et recevoir une récompense, le hacker doit généralement créer un exploit afin de prouver que la vulnérabilité découverte est un véritable bogue de sécurité . Les vulnérabilités les plus fréquemment signalées dans les programmes de primes aux bogues comprennent l'injection SQL , le cross-site scripting (XSS) et les défauts de conception.
Participants
Les participants aux programmes de primes aux bogues proviennent de divers pays. Dans un sondage mené auprès de hackers sur la plateforme HackerOne , 19 % ont indiqué résider aux États-Unis. Toute personne peut soumettre des rapports, quels que soient son niveau d'études et son âge. La majorité des rapports proviennent d'un nombre relativement restreint de hackers. Le nombre de signalements et de participants a connu une augmentation spectaculaire à la fin des années 2010.
Bien que la motivation la plus souvent citée par les participants aux programmes de primes aux bogues soit la récompense financière liée au signalement des bogues d'autres facteurs de motivation incluent la possibilité de reconnaissance, le défi intellectuel, l'apprentissage et les perspectives d'emploi Une étude de 2017 publiée dans le Journal of Cybersecurity a révélé que les programmes de primes aux bogues les plus récents attiraient davantage de chercheurs, malgré des récompenses financières plus élevées offertes par les programmes plus anciens
Programmes notables
Entreprise
En octobre 2013, Google a annoncé une modification importante de son programme de récompenses pour la découverte de vulnérabilités. Auparavant, ce programme de primes aux bogues couvrait de nombreux produits Google. Avec cette évolution, il a été élargi pour inclure une sélection d' applications et de bibliothèques logicielles gratuites à haut risque , principalement celles conçues pour la mise en réseau ou les fonctionnalités de bas niveau du système d'exploitation . Les soumissions jugées conformes aux directives par Google étaient éligibles à des récompenses allant de 500 $ à 3 133,70 $. En 2017, Google a étendu son programme aux vulnérabilités découvertes dans les applications développées par des tiers et disponibles sur le Google Play Store. Le programme de récompenses pour la découverte de vulnérabilités de Google inclut désormais les vulnérabilités découvertes dans les produits Google, Google Cloud, Android et Chrome, et offre des récompenses pouvant atteindre 31 337 $.
En novembre 2013, Microsoft et Facebook se sont associés pour parrainer le programme Internet Bug Bounty, qui offre des récompenses pour le signalement de piratages et d'exploits concernant un large éventail de logiciels liés à Internet. En 2017, GitHub et la Fondation Ford ont parrainé cette initiative, gérée par des bénévoles issus notamment d'Uber, Microsoft, Adobe, HackerOne, GitHub, NCC Group et Signal Sciences.
Gouvernement
En mars 2016, Peter Cook a annoncé le premier programme de primes aux bogues du gouvernement fédéral américain, le programme « Hack the Pentagon ».
En 2019, la Commission européenne a annoncé l'initiative EU-FOSSA 2, un programme de primes aux bogues destiné aux projets open source populaires, notamment Drupal , Apache Tomcat , VLC , 7-Zip et KeePass . Ce projet, mené conjointement par la plateforme européenne de primes aux bogues Intigriti et HackerOne, a permis d'identifier 195 vulnérabilités uniques et valides.
En 2025, le gouvernement de la République tchèque a lancé son programme officiel de primes aux bogues sur la plateforme de piratage éthique Hackrate.
Plateformes
Certaines plateformes, dont la plus importante est HackerOne , gèrent des programmes de primes aux bogues pour le compte d'éditeurs de logiciels et versent des récompenses fixées par ces derniers. Parmi les autres, on peut citer Bugcrowd et Synact. Open Bug Bounty est un programme de primes aux bogues de sécurité participatif, créé en 2014, qui permet aux particuliers de signaler les vulnérabilités de sécurité des sites web et des applications web dans l'espoir d'obtenir une récompense de la part des opérateurs des sites web concernés.
Recherche
les systèmes critiques , de plus en plus connectés à Internet. La plupart des recherches existantes sont quantitatives et réalisées par des experts en informatique, sans perspective multidisciplinaire intégrant les apports de domaines tels que l'économie, le droit et la philosophie.
Légalité
La découverte de vulnérabilités présente de nombreuses similitudes avec les cyberattaques . Les actions, même de pirates informatiques bien intentionnés, peuvent enfreindre les lois pénales adoptées pour poursuivre les cybercriminels. La plupart des pirates informatiques ne sont pas des experts juridiques et méconnaissent souvent la législation en vigueur dans leur juridiction. Il est fréquent que les découvreurs de vulnérabilités reçoivent des menaces juridiques après avoir divulgué une vulnérabilité.
Bien que la quasi-totalité des programmes de primes aux bogues promettent une protection aux signalements conformes à leurs politiques, si la vulnérabilité découverte ne relève d'aucun programme de primes aux bogues existant, l'entreprise concernée pourrait la signaler comme une cyberattaque illégale. En Chine, certains signaleurs de vulnérabilités ont été arrêtés et poursuivis en justice, notamment les dirigeants de WooYun , la plus ancienne et la plus importante plateforme de signalement de vulnérabilités du pays.
marchés alternatifs de vulnérabilité
Les découvreurs de vulnérabilités peuvent gagner davantage d'argent (plus d'un million de dollars américains dans certains cas) en les vendant à des courtiers comme Zerodium , à des sociétés de logiciels espions comme NSO Group , à des gouvernements ou à des agences de renseignement. Les agences gouvernementales peuvent exploiter la vulnérabilité pour mener une cyberattaque , la stocker ou en informer le fournisseur. Certains pirates informatiques vendent également la vulnérabilité qu'ils ont découverte à des groupes criminels. En 2015, les marchés gouvernementaux et criminels étaient estimés à au moins dix fois plus importants que le marché des primes aux bogues.