Vidéo : le programme de bug bounty de Stopcovid confié à YesWeHack

Vidéo : le programme de bug bounty de Stopcovid confié à YesWeHack

« Je pense que c’est le fichier de santé le plus sécurisé de la République Française » : dans une interview sur la chaîne parlementaire, Cedric O se veut rassurant et promet que toutes les dispositions ont été prises pour assurer la sécurité des données des utilisateurs sur l’application StopCovid, dont le lancement est prévu pour début juin.

La Commission nationale de l’informatique et des libertés vient en effet d’autoriser cet atterrissage dans les smartphones des français. La Cnil “constate que l’application ne conduira pas à créer une liste des personnes contaminées mais simplement une liste de contacts pseudonymisés.”

L’application mobile StopCovid a pour but d’informer l’utilisateur lorsqu’il croise une personne contaminée par le virus. Concrètement, aucune information personnelle n’est requise. Il suffit d’activer les notifications et le Bluetooth de votre smartphone. Un débat et un vote sur le sujet sont prévus toutefois à l’Assemblée nationale puis au Sénat cette semaine pour autoriser définitivement l’utilisation de l’application.

Et pour éprouver sur le long cours sa sécurité, 15 000 « hackers éthiques » tenteront de débusquer les failles du système. La société YesWeHack sera chargée de mettre en place une plateforme de bug bounty, un programme qui permet à des chercheurs en sécurité de signaler des failles de sécurité découvertes dans l’application et d’être payés en retour.

publicité

Une logique de souveraineté

« La mise en place d’un bug bounty pour la sécurisation de l’application faisait partie des recommandations de l’Anssi » explique Guillaume Vassault-houlière, dirigeant de YesWeHack, « donc assez naturellement l’Inria s’est tournée vers nous. » Le choix de YesWeHack, plateforme bien installée sur le marché européen, répond à plusieurs facteurs : tout d’abord une logique de souveraineté qui fait écho au reste du projet (supervisé par l’Inria et par l’Anssi, serveurs hébergés chez Dassault Systèmes, développement confié à une startup française etc.) et qui fait de la société française le candidat tout désigné pour mettre en place le bug bounty.

YesWeHack a également déjà eu l’occasion de collaborer de prés avec plusieurs organismes publics et institutions françaises : le ministère des armées, Cybermalveillance.gouv.fr ou encore la Dinum. 

« Nous proposons la plateforme et nous nous chargerons de verser les primes. L’évaluation des rapports de bug soumis au sein du programme sera néanmoins confié à l’Inria et l’Anssi. » YesWehack met à disposition sa plateforme et sa communauté de « hackers éthiques », mais l’évaluation des rapports de vulnérabilité restera entre les mains des initiateurs du projet. « On arrive en fin de projet, mais la collaboration avec les équipes de développeurs qui ont travaillé sur l’application s’est très bien passé, ils ont été très ouverts sur le sujet. »

«  Si on trouve des vulnérabilités, c’est une bonne nouvelle. C’est ce qu’on aime. »

Le bug bounty se décompose en deux phase : une première phase privée à partir du 27 mai, qui permettra à un groupe de 25 de chercheurs en sécurité sélectionnés par YesWeHack dans toute l’Europe d’éprouver en avant première la sécurité du dispositif. Puis une seconde partie publique, à compter du 2 juin, qui sera ouverte à l’ensemble des 15 000 chercheurs en sécurité de la plateforme YesWeHack.

L’idée est de tester en comité restreint les parties du dispositif qui resteront privées, puis de permettre à l’ensemble de la communauté de se pencher sur les parties publiques du code de l’application qui seront mises à disposition sur le dépôt Gitlab de l’Inria. Ce fonctionnement permettra d’éprouver la sécurité de l’ensemble du dispositif, des applications clientes au back end de l’application.

« On cherche des failles de tous les types, allant du déni de service applicatif jusqu’à la prise de contrôle des systèmes à distance. C’est un périmètre très large et on essaie de prendre en compte l’ensemble des scenarios potentiellement malveillants » poursuit Guillaume Vassault-Houlière.

Une application mise hors service une fois la crise sanitaire sous contrôle

Le barème des primes, qui pourront s’élever jusqu’à 2000 euros pour les failles les plus sévères, sera basé sur l’évaluation CVSS des failles réalisée par l’Anssi et l’Inria. Le programme restera ouvert tant que l’application sera fonctionnelle : celle ci étant liée à la lutte contre l’épidémie de Covid19, le secrétaire d’État Cedric O a promis qu’elle serait mise hors service une fois la crise sanitaire sous contrôle.

YesWeHack a indiqué qu’ils prendraient en charge le paiement des primes, mais ne s’inquiète pas de voir son budget exploser : « On a fait une étude de risque avant de se lancer, mais on sait que l’Anssi est déjà passé sur le code donc on s’attend à quelque chose d’assez bien fait de toute façon. Mais si on trouve des vulnérabilités, c’est une bonne nouvelle pour nous, c’est ce qu’on aime » explique le PDG de YesWehack.

Leave a Reply

Your email address will not be published. Required fields are marked *