Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser la page de contact pour nous contacter ou nous faire part de vos suggestions. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

Des hackers seront payés 2 000 € par faille trouvée sur StopCovid : à quoi sert un tel programme ?

Pour affiner la sécurité de son application de contact tracing, l'équipe du projet StopCovid va lancer un bug bounty sur la plateforme YesWeHack. Une vingtaine de hackers européens triés sur le volet par la plateforme va décortiquer l'application à la recherche de failles à partir du 27 mai, puis le programme sera ouvert au public le 2 jouin.

Très attendu par les chercheurs en cybersécurité, le programme de bug bounty sur StopCovid a ouvert à 19h15 le 27 mai. Initialement annoncé à 14h, il aura finalement attendu le vote positif de l'Assemblée pour être lancé, comme l'a relevé le journaliste Clément Pouré.

Dans un premier temps, la chasse à la prime est ouverte à 21 hackers européens triés sur le volet par YesWeHack, la plateforme française en charge du programme. Ils auront plusieurs jours pour créer des démonstrations de hack qui nuiraient à l'application, dont ils estimeront la gravité.

Ensuite, le personnel de la plateforme de bug bounty se chargera d'attribuer à ces démonstrations un score de criticité, le CVSS, en accord ou non avec les hackers. Plus le score sera élevé, plus les hackers empocheront un chèque important. « L'application StopCovid étant développée à titre gracieux, c'est YesWeHack qui paiera les primes des hackers. Ces dernières s'élèveront à 2 000 euros pour les failles les plus critiques  », précise le leader européen dans un communiqué.

Habituellement, les primes sont payées par l'entreprise qui commandite la chasse aux failles de sécurité. C'est peut-être ce qui explique que la rémunération pour les failles les plus critiques de StopCovid s'avère relativement modeste étant donné l'ambition de l'app d'équiper tous les Français. Si de nombreuses entreprises paient les hackers au même niveau (entre 1 500 et 3 000 euros pour les failles critiques), des entreprises comme Qwant ou OVH déboursent jusqu'à 10 000 euros.

YesWeHack se chargera de remonter les vulnérabilités découvertes par les hackers à l'équipe du projet StopCovid, qui pourra travailler sur leur réparation.

La chasse à la prime doit parfaire la sécurité de l'application

Le bug bounty intervient au bout de la chaîne de sécurité. L'application est déjà passée par plusieurs audits de sécurité menés par l'Anssi (l'agence nationale de la sécurité des systèmes d'information). Les hackers du bug bounty apporteront un œil nouveau, et pourront utiliser les ficelles qu'ils ont développées au cours de leur expérience de chasseurs de bug.

Audit de sécurité et bug bounty sont donc complémentaires, comme nous l'expliquait Nicolas Kovacs, qui dirige des audits de sécurité le jour, et cherche des bugs la nuit, sous le nom nicknam3. « Dans un test pénétration classique, nous sommes soumis à un cadre  très restreint : nous avons généralement une semaine pour tester et établir un rapport. Parfois, nous pouvons informer qu'il y a potentiellement une faille, mais nous n'avons pas le temps de la creuser. Dans le bug bounty, on peut creuser un problème particulier 24 heures sur 24 jusqu'à établir une preuve de concept », expliquait-il à Numerama lors d'une visite des locaux de YesWeHack.

Les tests d'intrusion sont donc essentiels puisqu'ils permettent d'identifier les plus grosses failles ainsi que les parties de l’app potentiellement vulnérables. C'est un passage nécessaire en amont du bug bounty, afin de ne pas trop multiplier les primes. Mais le système de bug bounty s'avère nécessaire pour identifier les failles en détail.

L'équipe du projet de StopCovid et YesWeHack auront au préalable déterminé le terrain de jeu des hackers, et définit le type de failles recherchées. Il est possible que ce cadre soit très large comme relativement précis, et les hackers ne seront pas rémunérés s'ils en sortent.

Un programme lancé trop tôt ?

Pour l'instant, le détail du programme reste confidentiel, mais l'Anssi précise dans un communiqué qu'il sera rendu le 2 juin. Les 15 000 hackers inscrits sur la plateforme pourront aussi se lancer dans la chasse, même s'il ne devrait — en théorie — plus rester beaucoup de failles.

Quelques questions persistent quant à la sécurité de l'application : la communauté scientifique, mentionnée dans le premier rapport de la Cnil, semble ne plus être mobilisée pour son expertise technique. Plusieurs chercheurs avaient pourtant fait des retours sur la première publication de StopCovid, mais aucun retour n'a été officiellement publié.

Ensuite, si le gouvernement a communiqué de premières images de l'app, elle est toujours en cours de développement. Certains changements majeurs, comme celui de son algorithme de chiffrement, n'ont pas encore été effectués. Le bug bounty portera donc sur un prototype de l'app, comme le relève l'Anssi.

Reste que le gouvernement semble plus que confiant sur la date de mise en production de StopCovid : l'ouverture de la chasse au bug se tiendra le jour du débat et vote à l'Assemblée sur l'app. L'équipe du projet ne semble donc pas considérer l'éventualité d'un vote contre.

Mise à jour le 27 mai 2020 à 13h00 avec l'heure de début du bug bounty annoncé par Cédric O.

Mise à jour le 27 mai 2020 à 20h12 avec l'heure d'ouverture du bug bounty.