Plateformes et sélection de programmes
Choisir les bonnes cibles pour maximiser votre taux de réussite
Ce que vous allez découvrir
🎯 Pourquoi c'est important
Où vous chassez compte autant que comment vous chassez. Certains programmes sont surchargés, certains paient mal, certains ne répondent jamais. Choisir le bon programme peut faire la différence entre une prime de 50€ et 5 000€ pour le même effort. Apprenez à évaluer les programmes stratégiquement.
🔍 Ce que vous apprendrez
- Lire et comprendre les scopes des programmes
- Évaluer la qualité des programmes (temps de réponse, paiements)
- Programmes publics vs privés
- VDP vs programmes de primes
- Trouver des cibles moins encombrées
🚀 Votre première victoire
En 20 minutes, vous saurez comment identifier les programmes où vous pouvez concurrencer efficacement et être payé.
Compétences que vous maîtriserez
Interprétation du scope
Comprendre les wildcards, les exclusions et ce que vous pouvez légalement tester
Évaluation des programmes
Lire les métriques pour prédire quels programmes valent votre temps
Ciblage stratégique
Trouver des programmes avec moins de concurrence et plus d'opportunités
Navigation des plateformes
Utiliser HackerOne, Bugcrowd et Intigriti efficacement
🔧 Essayez maintenant
Évaluez les statistiques d'un programme sur n'importe quelle plateforme de bug bounty :
# Sur n'importe quelle page de programme, cherchez ces métriques :
# TEMPS DE RÉPONSE
# Quelle est la rapidité de réponse de l'équipe sécurité ?
# - Moins d'1 semaine = Excellent (ils sont engagés)
# - 1-2 semaines = Bon (normal pour la plupart des programmes)
# - Plus d'1 mois = Signal d'alarme (votre rapport peut rester non lu)
# - "N/A" = Personne ne répond (évitez ce programme)
# FOURCHETTE DE PRIMES
# Combien paient-ils pour les vulnérabilités ?
# - Affiche le minimum et maximum par sévérité
# - Exemple : "100€ - 5 000€" signifie 100€ pour sévérité basse,
# jusqu'à 5 000€ pour les problèmes critiques
# RAPPORTS RÉSOLUS
# Combien de bugs ont-ils corrigé ?
# - Nombre élevé = Programme actif, paie régulièrement
# - Nombre bas = Soit nouveau, soit ils ne s'engagent pas beaucoup
# DATE DE LANCEMENT
# Quand le programme a-t-il commencé ?
# - Nouveaux programmes (moins de 6 mois) = Moins de concurrence
# - Anciens programmes (3+ ans) = Bugs faciles déjà trouvés
# TAILLE DU SCOPE
# Quelle surface d'attaque exposent-ils ?
# - *.target.com (wildcard) = Nombreux sous-domaines à tester
# - www.target.com uniquement = Zone de test très limitéeVous verrez : Ces métriques vous indiquent si un programme vaut la peine d'y investir votre temps.
Comprendre les types de programmes
"Le meilleur programme n'est pas celui avec les primes les plus élevées - c'est celui où vous pouvez réellement trouver des bugs."
Types de programmes expliqués
Programmes publics
Ouverts à tous ceux qui ont un compte sur la plateforme. Vous pouvez commencer à tester immédiatement.
Avantages : Pas de barrière à l'entrée, idéal pour construire sa réputation, variété de cibles
Inconvénients : Plus de concurrence, les vulnérabilités courantes sont trouvées rapidement
Stratégie : Commencez par les programmes publics. C'est là que vous construisez votre historique.
Programmes privés
Programmes sur invitation uniquement réservés aux chercheurs avec un historique prouvé.
Avantages : Moins de concurrence, souvent des paiements plus élevés, accès à des cibles sensibles
Inconvénients : Nécessitent une invitation basée sur les métriques de réputation
Comment être invité : Soumettez des rapports cohérents et valides sur les programmes publics. Les plateformes invitent automatiquement les chercheurs en fonction du signal (votre ratio de rapports acceptés vs rejetés) et de la qualité des rapports.
VDP (Vulnerability Disclosure Program)
Programmes qui acceptent les rapports de vulnérabilités mais offrent de la reconnaissance au lieu d'argent. Pensez aux VDP comme des entreprises disant "veuillez nous signaler les problèmes de sécurité" sans récompense financière.
Pourquoi ils existent : Beaucoup d'entreprises ne peuvent pas se permettre des programmes de primes mais veulent quand même des retours sur la sécurité
Ce que vous obtenez : Reconnaissance publique, points de réputation sur les plateformes, expérience
Valeur stratégique : Les rapports VDP comptent toujours dans vos statistiques de plateforme et les invitations aux programmes privés. Ils sont excellents pour apprendre sans la pression de courir contre des chasseurs expérimentés.
Programmes auto-hébergés
Entreprises gérant leurs propres programmes de bug bounty en dehors des grandes plateformes, typiquement sur des pages /security ou /responsible-disclosure.
Avantages : Souvent négligés par les chercheurs, moins de concurrence
Inconvénients : Qualité variable, communication incohérente, pas de médiation de plateforme en cas de litige
Les trouver : Cherchez "[nom de l'entreprise] security" ou vérifiez leur pied de page pour les pages de sécurité
Lire correctement le scope
⚠️ Critique : Tester des actifs hors scope peut vous faire bannir des plateformes ou faire face à des poursuites judiciaires. Vérifiez toujours le scope avant de tester.
Comprendre la notation wildcard
# DANS LE SCOPE - Actifs que vous POUVEZ tester
*.target.com
# L'astérisque (*) est un WILDCARD signifiant "n'importe quoi"
# Cela couvre : api.target.com, app.target.com, dev.target.com
# Essentiellement n'importe quel sous-domaine de target.com
# C'est PRÉCIEUX - plus de sous-domaines = plus de surface d'attaque
app.target.com
# Sous-domaine SPÉCIFIQUE uniquement - pas de wildcard
# Vous pouvez SEULEMENT tester app.target.com
# Vous ne pouvez pas tester api.target.com ou tout autre sous-domaine
*.*.target.com
# Double wildcard - couvre aussi les sous-sous-domaines
# Exemple : staging.api.target.com est dans le scope
Applications iOS/Android
# Applications mobiles - testez en interceptant le trafic
# Cherchez les endpoints API et les bugs spécifiques aux mobilesHors scope (ne jamais tester)
# ACTIFS EXCLUS - Les tester peut vous faire bannir
Services tiers
# Services que l'entreprise utilise mais ne possède pas
# Exemple : S'ils utilisent Zendesk pour le support, ne testez pas Zendesk
# Même s'il est accessible via support.target.com
*.staging.target.com ou *.dev.target.com
# Les environnements staging/développement sont souvent exclus
# Moins stables, peuvent contenir des données de test, pas de sécurité de production
Ingénierie sociale
# Ne jamais phisher les employés, appeler le support pour extraire des infos, etc.
# C'est presque toujours hors scope
Attaques physiques
# Entrer par effraction dans les bureaux, drops USB, etc.
# Nécessite une autorisation explicite pour les pentests physiquesExclusions courantes (généralement N/A)
# Ceux-ci sont typiquement exclus ou marqués N/A :
Attaques DoS/DDoS
# Inonder les serveurs de trafic
# Ne testez pas la disponibilité - seulement confidentialité/intégrité
Self-XSS
# XSS qui n'affecte que la personne qui le saisit
# Aucune victime ne peut être exploitée sans ingénierie sociale
En-têtes de sécurité manquants sans impact démontré
# "X-Frame-Options manquant" seul n'est pas une vulnérabilité
# Vous devez montrer du clickjacking exploitable
Clickjacking sans action sensible
# Le clickjacking sur une page publique n'a pas d'importance
# Besoin de montrer que vous pouvez tromper les utilisateurs pour des actions nuisibles
"Problèmes" de rate limiting sans impact
# "Je peux faire 100 requêtes par seconde" n'est pas un bug
# Sauf si vous pouvez démontrer un bypass de verrouillage de compte, etc.Sélection stratégique de programmes
Programmes qui maximisent votre succès
# PREMIERS PROGRAMMES IDÉAUX - Cherchez ces caractéristiques :
✓ Récemment lancé (moins de 6 mois)
Pourquoi : Les chasseurs expérimentés n'ont pas encore épuisé les bugs faciles
✓ Scope large avec wildcards (*.company.com)
Pourquoi : Plus de sous-domaines = plus d'endpoints = plus d'opportunités
✓ Engagement actif (rapports résolus récemment)
Pourquoi : Ils répondent réellement et paient - pas abandonné
✓ Paiements raisonnables (50€+ pour sévérité basse)
Pourquoi : Votre temps a de la valeur, même les petits bugs devraient payer
✓ Bon temps de réponse (moins d'1 semaine en moyenne)
Pourquoi : Des retours rapides vous aident à apprendre et à vous améliorerProgrammes à aborder plus tard
# GARDEZ CEUX-CI POUR PLUS TARD - Pas idéaux pour commencer :
✗ Grandes entreprises tech (Google, Meta, Apple)
Pourquoi : Des milliers de chasseurs expérimentés en concurrence quotidienne
Résultat : Taux de duplicata élevé, besoin d'expertise approfondie pour trouver de nouveaux bugs
✗ Programmes de plus de 3 ans
Pourquoi : Vulnérabilités courantes déjà trouvées et corrigées
Résultat : Besoin de techniques avancées pour trouver les bugs restants
✗ Scope étroit (page ou fonctionnalité unique)
Pourquoi : Surface d'attaque très limitée
Résultat : Peu de bugs à trouver, haute concurrence pour ce qui existe
✗ Programmes avec de mauvaises métriques de réponse
Pourquoi : Vos rapports peuvent rester non examinés pendant des mois
Résultat : Temps perdu, pas de retours pour s'améliorerTrouver des cibles moins encombrées
# STRATÉGIES POUR RÉDUIRE LA CONCURRENCE :
1. Nouveaux programmes
- Filtrez par date de lancement sur les plateformes
- HackerOne : Triez par "Newest"
- Entrez avant la foule
2. Mises à jour de scope
- Quand les programmes ajoutent de nouveaux actifs, c'est comme un nouveau lancement
- Suivez les annonces des programmes
- Nouvelle application mobile ajoutée ? Testez-la en premier
3. Industries non-tech
- Santé, finance, retail, gouvernement
- Moins de chercheurs en sécurité les ciblent
- Ont souvent des pratiques de sécurité plus faibles
4. Plateformes régionales
- Intigriti (focus Europe, pool de chercheurs plus petit)
- YesWeHack (plateforme française, moins de concurrence)
- Plateformes plus petites = moins de concurrence
5. Entreprises plus petites
- Les programmes Fortune 500 attirent des milliers
- Les startups Series B attirent des dizaines
- Les maths jouent en votre faveurAnalyse réelle de programmes
Exemple de bon programme
Scope : *.company.com, app iOS, app Android
Fourchette de primes : 100€ - 5 000€
Temps de réponse : 3 jours en moyenne
Rapports résolus : 150+ (actif)
Lancement : il y a 6 mois
Analyse : Le scope wildcard signifie beaucoup de sous-domaines à explorer. Les applications mobiles ajoutent de la surface d'attaque. 100€ minimum est raisonnable. Réponse en 3 jours montre une équipe sécurité engagée. 150+ résolus signifie qu'ils paient réellement. Six mois signifie qu'il n'est pas épuisé. Cela vaut votre temps.
Évitez ce programme
Scope : www.company.com uniquement (pas de wildcard)
Fourchette de primes : Hall of Fame uniquement (pas d'argent)
Temps de réponse : 45 jours en moyenne
Rapports résolus : 5 (inactif)
Lancement : il y a 3 ans
Analyse : Domaine unique sans wildcard = surface d'attaque minimale. Pas de récompense monétaire = valeur de réputation uniquement. Réponse en 45 jours = vos rapports restent dans les limbes. Seulement 5 résolus en 3 ans = effectivement abandonné. Passez à de meilleures cibles.
Questions fréquemment posées
Dois-je me concentrer sur un programme ou plusieurs ?
Commencez par 2-3 programmes et apprenez leurs applications en profondeur. Tester en surface 50 programmes est moins efficace que tester minutieusement quelques-uns. Quand vous connaissez bien une cible - sa stack technologique, ses patterns, ses cas limites - vous trouvez des bugs que les chasseurs occasionnels ratent. La profondeur bat l'étendue.
Comment être invité aux programmes privés ?
Construisez votre réputation sur les programmes publics par des rapports valides cohérents. Les plateformes suivent votre "signal" - votre ratio de rapports acceptés par rapport au total des soumissions. Un signal élevé (signifiant que la plupart de vos rapports sont valides, pas des duplicatas ou N/A) plus une bonne qualité de rapport déclenche des invitations automatiques. Il n'y a pas de raccourci - démontrez votre compétence par votre travail.
Les VDP valent-ils le temps ?
Absolument - ce sont des terrains d'apprentissage précieux. Les VDP sont typiquement moins compétitifs et excellents pour développer vos compétences et la réputation sur la plateforme. Vos rapports VDP valides comptent toujours dans vos statistiques et les invitations aux programmes privés. Équilibrez votre temps entre les VDP (apprentissage, réputation) et les programmes payants (revenus). Ils ne sont pas mutuellement exclusifs.
Quelle est la différence entre HackerOne, Bugcrowd et Intigriti ?
HackerOne : Plus grande plateforme, plus de programmes, plus de concurrence. Bonne variété mais encombrée.
Bugcrowd : Deuxième plus grande, fort focus entreprise, bon accès aux programmes privés.
Intigriti : Focus Europe, pool de chercheurs plus petit signifie moins de concurrence, liste de programmes en croissance.
Créez des comptes sur les trois - différents programmes sur différentes plateformes.
🎯 Vous pouvez choisir des programmes stratégiquement !
Vous savez maintenant comment évaluer les programmes, lire correctement le scope et identifier les cibles où vous pouvez réellement réussir. La sélection stratégique de programmes est la moitié de la bataille - l'autre moitié est un testing cohérent et de qualité.
Prêt à configurer votre environnement de hacking