
Sagesse collective dans le domaine de la sécurité — Marchés communautaires de primes et d'audits
TechFlow SélectionTechFlow Sélection

Sagesse collective dans le domaine de la sécurité — Marchés communautaires de primes et d'audits
Qu'est-ce qu'une récompense aux vulnérabilités et un concours d'audit ? Pourquoi en avons-nous besoin ?
Auteur : Ray, IOSG Ventures
Préambule
En tant que grands systèmes informatiques, les blockchains ont aujourd'hui atteint un niveau de complexité largement supérieur à celui d'il y a cinq ans. Leur infrastructure est désormais plus modulaire, la logique des contrats intelligents au niveau applicatif s'est enrichie et les interactions entre contrats sont fréquentes. Plus important encore, ces systèmes gèrent désormais des actifs considérables. C’est pourquoi, récemment, la communauté de sécurité blockchain discute de plus en plus du cycle de sécurité (une évolution notable par rapport à 2017, époque où l’on pensait simplement que la sécurité consistait à faire relire le code par un ami de la Fondation Ethereum après écriture du contrat, avec quelques tests basiques).

Au cours du cycle de vie complet de la sécurité d’un programme blockchain (test, audit tiers, surveillance post-déploiement, audits itératifs), la communauté des programmes de récompenses pour vulnérabilités agit comme un filet de sécurité, attirant via la théorie des jeux et le travail collaboratif des « chapeaux blancs » pour effectuer une dernière revue du code des projets. Certains spécialistes de la sécurité des contrats intelligents considèrent ces programmes comme le dernier rempart. Toutefois, je pense que les programmes de récompense et les concours d’audit ont un potentiel bien plus grand : ils pourraient jouer un rôle transversal tout au long du cycle de vie de la sécurité, renforçant ainsi la sécurité globale du système.
Dans le domaine traditionnel de la cybersécurité, on retrouve aussi des programmes de récompenses pour bogues (Bug Bounty ou Vulnerability Rewards). Depuis plusieurs années, de grandes entreprises technologiques telles que Facebook, Google ou Microsoft ont mis en place leurs propres programmes de primes pour leurs équipes internes et leurs lignes de produits. Par ailleurs, depuis environ 2015, des plateformes tierces spécialisées dans les programmes de récompenses, telles que HackerOne et Bugcrowd, sont apparues. Ces deux leaders du secteur génèrent aujourd’hui des revenus annuels respectifs proches de 50 millions et 20 millions de dollars américains, principalement grâce à une commission prélevée sur les primes versées. Dans l’univers blockchain, les programmes de récompense constituent un sujet particulièrement intéressant, car le caractère open source des codes rend les attaques et l’amélioration des stratégies offensives moins coûteuses. De plus, l’écosystème crypto encourage fortement le travail collaboratif, l’économie du créateur et la contribution ouverte — autant d’éléments qui rendent un modèle économique plus ouvert encore plus pertinent.
Qu’est-ce qu’un programme de récompense ou un concours d’audit ? Pourquoi en avons-nous besoin ?
La sécurité est un processus dynamique de confrontation entre attaquants et défenseurs. Comme l’a dit l’expert en sécurité informatique et cryptographe Bruce Schneier : « La sécurité est un processus, pas un produit. C’est une manière de penser qui doit imprégner toutes les étapes du développement logiciel. » Dans l’univers blockchain — une « forêt sombre » transparente et entièrement open source — tout projet souhaitant survivre durablement a un besoin constant de sécuriser ses produits et contrats. La plupart des produits blockchain ayant une dimension financière, la confiance devient l’actif le plus précieux, or celle-ci ne se gagne qu’une seule fois auprès des utilisateurs.
Où se situent donc les limites des audits traditionnels ? En quoi les programmes communautaires de récompenses et les concours d’audit peuvent-ils combler ces lacunes ?

Les développeurs utilisant des services d’audit constatent souvent que :
-
Même après avoir payé un service d’audit tiers et fait auditer leur code, des failles subsistent. Bien que les causes soient variées (techniques ou non), cela montre que dépendre d’un seul cabinet d’audit n’est pas totalement fiable. La qualité de l’audit dépend avant tout du compétence des auditeurs, et les clients peinent souvent à distinguer les bons prestataires.
-
Les plateformes de récompense et les concours d’audit offrent un « bac à sable » plus ouvert : le code du projet peut être examiné librement par des chapeaux blancs aux origines diverses (auditeurs professionnels ou indépendants), utilisant toute méthode d’analyse. Le rôle du client se limite à définir un montant de prime raisonnable et à rémunérer les contributions valides.
-
Typiquement, le client soumet le code à auditer, définit les niveaux de gravité des vulnérabilités (en lien avec les pertes économiques potentielles — plus celles-ci sont directes, plus la vulnérabilité est sévère), fixe le budget de prime, la portée du test, voire les étapes d’analyse.
Quelle est la taille du marché ?

Le modèle économique des plateformes de récompense et des concours d’audit repose généralement sur une commission prélevée sur les primes versées ou sur le pool total de récompenses. Les clients (projets) ayant besoin d’audits définissent publiquement leurs besoins sur ces plateformes (code à couvrir, critères de gravité, budget de prime). Les chapeaux blancs recherchent alors des vulnérabilités ; si une faille est découverte et répond aux critères, la prime est versée. La plateforme prélève une commission sur cette somme.
Dans le monde Web2, les plateformes de récompense sont relativement jeunes (apparues après 2012). Aujourd’hui, HackerOne et Bugcrowd dominent ce marché. En 2022, HackerOne a généré un chiffre d’affaires de 58 millions de dollars, valorisé à environ 500 millions, avec 230 millions de dollars de primes versées au total (dont 150 millions entre 2021 et 2022), plus de 65 000 vulnérabilités découvertes, plus d’un million de hackers inscrits, et plus de 1 000 clients mensuels. Son concurrent Bugcrowd a dépassé 20 millions de dollars de revenus la même année.
Dans l’écosystème Web3, l’ensemble des plateformes de récompense et concours d’audit a distribué 50 millions de dollars de primes aux chapeaux blancs en 2022. Le taux de commission moyen se situe entre 10 % et 30 %. On peut donc estimer la taille actuelle du marché entre 5 et 15 millions de dollars — un secteur encore très émergent.
Un phénomène intéressant est l’adoption croissante de ces services communautaires décentralisés. L’exemple le plus marquant est Opensea, qui, avant le lancement de sa nouvelle plateforme Seaport, a choisi de ne pas recourir à un cabinet d’audit traditionnel, mais d’utiliser Code4Rena, la plus grande plateforme décentralisée de concours d’audit, en mettant en jeu un pool de 1 million de dollars. Alors que le marché traditionnel de l’audit est saturé (concurrence sur les ressources humaines, outils techniques et business development), les services de sécurité décentralisés pourraient-ils constituer une source significative de croissance ? Avec 56 cabinets d’audit actuellement présents, dont les leaders affichent des revenus annuels de 10 à 40 millions de dollars, le potentiel du marché décentralisé semble immense.
Plateforme de récompense vs plateforme de concours d’audit
Bien que les plateformes de récompense existent depuis une dizaine d’années dans le Web2, les plateformes de concours d’audit sont une innovation typiquement web3. Elles servent des projets sur le point de lancer un produit ou une fonctionnalité, mobilisant la puissance d’une communauté décentralisée pendant une période limitée (plus de deux semaines) pour réaliser l’audit. D’un point de vue commercial, elles représentent une menace sérieuse pour les cabinets d’audit traditionnels.
Voici une comparaison selon trois axes : mode de participation, structure des récompenses, et portée du test.
Mode de participation
Sur les plateformes de récompense (comme Immunefi), les projets sont ouverts : toute personne peut participer à tout moment. Les participants travaillent individuellement, découvrent des vulnérabilités et soumettent leurs rapports pour obtenir une prime. En cas de doublon, le principe du « premier arrivé, premier servi » s’applique.
Les plateformes communautaires de concours d’audit (ex. Code4Rena, Sherlock) imposent une durée limitée, durant laquelle les participants rivalisent pour trouver et signaler des failles. Contrairement aux plateformes de récompense, elles encouragent une certaine collaboration : chaque projet désigne un Lead Senior Auditor et un Lead Judge, responsables de synthétiser et valider les résultats finaux. Ces rôles clés sont attribués selon des principes décentralisés (élection communautaire, compétition). Enfin, en cas de doublon, les deux découvreurs reçoivent chacun une prime.
Structure des récompenses
Dans les deux cas, le montant de la prime dépend principalement de la gravité de la vulnérabilité trouvée.
La différence réside dans le fait que sur des plateformes comme Code4Rena, 5 % à 10 % du pool de récompenses est réservé au Lead Senior Auditor et au Lead Judge, qui remplissent un rôle similaire à celui d’un chef de projet dans un cabinet d’audit traditionnel.
Un autre point intéressant : certaines plateformes permettent aux projets d’offrir leurs propres jetons comme récompense. Toutefois, certains chapeaux blancs préfèrent recevoir des stablecoins (USDC, USDT) plutôt que des jetons volatils.
Portée et focus
Les projets sur plateformes de récompense ont généralement une portée large. À l’inverse, ceux sur concours d’audit sont plus ciblés, axés sur des fonctionnalités ou aspects spécifiques du logiciel, exigeant une concentration intense sur une courte période.

Projets centrés sur les concours d’audit
Code4Rena – Une plateforme communautaire de concours d’audit façon e-sport
Code4Rena comporte trois types de rôles :
1. Les auditeurs (Wardens) examinent le code. N’importe qui, du développeur expérimenté au débutant cherchant à gagner en expérience, peut s’inscrire et participer à un concours public.
2. Les juges (Judges) sont généralement les ingénieurs les plus talentueux de la communauté C4. Ils évaluent la gravité, la validité et la qualité des rapports, et notent la performance des auditeurs.
3. Les sponsors (Sponsors) sont les projets eux-mêmes (Opensea, Blur, ENS, Chainlink, etc.) qui créent un pool de récompenses pour inciter les auditeurs à examiner leur code. Ils peuvent également organiser des concours privés sur invitation pour préserver la confidentialité.
L’aspect le plus intéressant est la culture que Code4Rena cherche à instaurer : la coopération et le travail d’équipe. Contrairement aux programmes classiques de récompense, Code4Rena rémunère tous les auditeurs ayant signalé une vulnérabilité valide, même si elle a déjà été rapportée. Cette règle favorise une saine compétition, poussant les participants à chercher les failles les plus critiques et courantes. Sur cette plateforme, certains auditeurs forment même des équipes temporaires.
Modèle économique :
Tout projet peut lancer un programme d’audit sur Code4Rena en créant un pool de base en USDC ou ETH (généralement entre 40 000 $ et 100 000 $). Code4Rena prélève 20 % de ce pool comme frais de service pour l’organisation, la gestion des juges et la production du rapport final. Le sponsor peut ajouter un pool secondaire en jetons du projet, sur lequel Code4Rena prélève 40 % de frais.
Sherlock – Un audit communautaire avec assurance contractuelle intelligente
Comme Code4Rena, Sherlock compte des auditeurs, des sponsors et des juges. Sa particularité réside dans son service d’assurance. N’importe qui peut investir dans le pool d’assurance de Sherlock en déposant des USDC. Les clients peuvent souscrire une couverture contre le risque de piratage de leurs contrats intelligents. Les revenus des investisseurs proviennent : des primes versées par les clients, des intérêts générés par le dépôt du capital dans d’autres protocoles DeFi (Aave, Compound, etc.), et des récompenses en jetons Sherlock. En contrepartie, les investisseurs assument le risque de remboursement en cas de sinistre.
Un autre point différenciant : la répartition des gains issus de l’audit. Contrairement à Code4Rena, Sherlock permet au Lead Senior Auditor et au Lead Judge de recevoir une part fixe du pool (5 % à 10 %), afin de mieux rémunérer et motiver les experts expérimentés. Des mécanismes de sélection et de compétition existent aussi pour nommer ces rôles-clés.
Comment construire une communauté de hackers ? Quels sont les enjeux majeurs pour les chapeaux blancs web3 ?
Après avoir étudié différentes communautés de sécurité décentralisées (ImmuneFi, Hats Finance, Code4Rena, Sherlock, etc.) et discuté avec des entrepreneurs du secteur, nous pensons que tous ces plateformes visent un objectif commun : créer une plateforme de communication et de collaboration plus saine et efficace. Ces plateformes agissent comme un marché entre hackers et projets, devant répondre aux besoins des uns (voir tableau ci-dessous) tout en satisfaisant les préoccupations des autres (qualité de l’audit).

Source : « Bug Hunters’ Perspectives on the Challenges and Benefits of the Bug Bounty Ecosystem »
Outre les besoins classiques, dans la communauté Immunefi (le Discord de chapeaux blancs le plus animé que j’ai vu), j’ai remarqué des discussions intéressantes.
Par exemple :
Un chapeau blanc nommé Rappie souhaitait publier publiquement une vulnérabilité qu’il avait découverte, et demandait quelles règles communautaires respecter : 1) Ne publier que les vulnérabilités corrigées. 2) S’assurer que les informations diffusées n’ont aucun impact négatif sur le protocole ou ses utilisateurs. Garder confidentielles les données sensibles (par exemple, ne pas publier la structure complète de la base de données après correction d’une injection SQL). 3) Contacter d’abord l’équipe du projet en message privé.
Un autre utilisateur, Noam Yakov, a exprimé des doutes sur la définition d’un programme de récompense (phénomène fréquent, car seules les vulnérabilités graves sont rémunérées). Il questionnait Uniwhales sur la qualification d’impact MEV comme vulnérabilité grave. Après discussion, il a été convenu que ce type de description ne s’applique pas à tous les cas MEV. Par exemple, un flux d’ordres toxiques capable de vider les pools du protocole constitue bel et bien un incident grave. Ainsi, un simple cadre de classification des niveaux de sécurité ne suffit pas : un rôle d’arbitrage impartial est souvent nécessaire.
Quant à la question intrigante : « Qu’attendez-vous des plateformes de récompense comme Immunefi ? », un chapeau blanc nommé ckksec a répondu : 1) Aider les chapeaux blancs anonymes à clarifier juridiquement leurs revenus (ex. émission de factures). 2) Mettre en place non seulement un système de notation des hackers, mais aussi une notation de la qualité des projets, car les auditeurs perdent du temps à évaluer la crédibilité des projets. 3) Pour les hackers souhaitant rendre leur profil public, la plateforme pourrait montrer leur historique de travail, et idéalement, être plus transparente sur les rapports d’analyse reçus par les projets.
Quels outils peuvent aider les chapeaux blancs ?
Avec la montée en puissance des grands modèles linguistiques (LLM) comme GPT, on entend souvent parler de l’automatisation des audits de sécurité. Les experts en sécurité que j’ai interrogés estiment que GPT ne peut pas remplacer complètement l’intelligence humaine. Certains problèmes simples (low-hanging fruit) pourraient être détectés par des modèles linguistiques, mais les vulnérabilités moyennes ou élevées nécessitent toujours l’intervention d’experts. Par exemple, selon un expert confirmé, les analyses complexes (statiques, dynamiques) exigent une compréhension fine de la logique métier du protocole, une définition préalable des propriétés de sécurité à tester, et la formulation rigoureuse des hypothèses. Or, selon leurs tests, GPT n’est pas encore capable de remplir ces tâches cruciales.

Cela dit, certains résultats prometteurs montrent que les LLM peuvent améliorer significativement l’efficacité des outils d’analyse et réduire les faux positifs :
https://twitter.com/HatforceSec/status/1671758690808913922
https://www.researchgate.net/publication/371758506_Do_you_still_need_a_manual_smart_contract_audit
Abordons ce sujet sous un angle non technique mais fascinant : la sécurité est un jeu dynamique entre attaque et défense. Si l’IA aide les défenseurs, ne pourrait-elle pas aussi bénéficier aux attaquants ?

La sécurité, c’est l’humain d’abord
On a tendance à voir les logiciels comme des entités froides, mécaniques et purement logiques, et à croire que la sécurité se renforce uniquement par des techniques d’analyse et de défense. Mais on néglige trop souvent les incitations économiques et les aspects humains. Dans la forêt sombre du code open source, nous avons besoin d’un système de distribution aligné sur l’hypothèse de l’agent rationnel, capable de créer des incitations économiques positives pour attirer davantage de personnes désireuses de contribuer durablement à la sécurité des blockchains.
Le marché traditionnel de l’audit est aujourd’hui mature, où la réputation constitue l’actif immatériel le plus précieux. Au fil du temps, les marques leaders renforcent leur influence et la confiance des clients. Pourtant, ce modèle présente ses propres limites : modèle économique peu diversifié, dépendance à la main-d’œuvre, difficultés de mise à l’échelle, tensions entre croissance et qualité d’audit — certains acteurs étant déjà confrontés à ces contraintes, au point de menacer leur propre valeur de marque.
Les concours d’audit communautaires représentent un modèle innovant. Les deux principales plateformes comptent désormais plus de 300 clients et semblent avoir trouvé un product-market fit. Quant aux plateformes de récompense, elles complètent utilement le cycle de sécurité. Même si ces plateformes décentralisées n’ont pas encore trouvé de modèle token efficace, nous croyons fermement à une croissance massive de ce marché, car la sagesse collective correspond parfaitement aux dynamiques d’attaque-défense inhérentes à la sécurité.
Les plateformes communautaires menacent-elles les cabinets centralisés ? Nous pensons qu’elles entreront plutôt dans une relation de complémentarité et de concurrence saine. À court terme, lorsque des plateformes comme Code4Rena auront accumulé une solide réputation (taux faible de projets piratés après audit), elles exerceront une pression concurrentielle sur les cabinets centralisés de rang intermédiaire ou inférieur. À long terme, cela pourrait inciter les cabinets traditionnels à collaborer avec les plateformes communautaires, élargissant ainsi leur base clients et améliorant la qualité de leurs audits — un peu comme les programmes internes de bug bounty dans les grandes entreprises web2, qui ont fini par s’allier à des plateformes tierces comme HackerOne.
Bien que ces plateformes communautaires visent une gouvernance plus DAO-like (Forta pourrait aussi entrer dans cette catégorie), leur fonctionnement pratique soulève encore des défis : comment rendre les flux de travail et les allocations économiques plus transparents ? Comment concilier la confidentialité exigée par les projets et la sécurité ? Comment définir clairement la distinction entre travail individuel et collectif ? Comment régler équitablement et professionnellement les conflits d’intérêts ? Autant de questions auxquelles les DAO de sécurité devront faire face.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News














