Très attendu par les chercheurs en cybersécurité, le programme de bug bounty sur StopCovid a ouvert à 19h15 le 27 mai. Initialement annoncé à 14h, il aura finalement attendu le vote positif de l’Assemblée pour être lancé, comme l’a relevé le journaliste Clément Pouré.
Dans un premier temps, la chasse à la prime est ouverte à 21 hackers européens triés sur le volet par YesWeHack, la plateforme française en charge du programme. Ils auront plusieurs jours pour créer des démonstrations de hack qui nuiraient à l’application, dont ils estimeront la gravité.
Ensuite, le personnel de la plateforme de bug bounty se chargera d’attribuer à ces démonstrations un score de criticité, le CVSS, en accord ou non avec les hackers. Plus le score sera élevé, plus les hackers empocheront un chèque important. « L’application StopCovid étant développée à titre gracieux, c’est YesWeHack qui paiera les primes des hackers. Ces dernières s’élèveront à 2 000 euros pour les failles les plus critiques », précise le leader européen dans un communiqué.
Habituellement, les primes sont payées par l’entreprise qui commandite la chasse aux failles de sécurité. C’est peut-être ce qui explique que la rémunération pour les failles les plus critiques de StopCovid s’avère relativement modeste étant donné l’ambition de l’app d’équiper tous les Français. Si de nombreuses entreprises paient les hackers au même niveau (entre 1 500 et 3 000 euros pour les failles critiques), des entreprises comme Qwant ou OVH déboursent jusqu’à 10 000 euros.
YesWeHack se chargera de remonter les vulnérabilités découvertes par les hackers à l’équipe du projet StopCovid, qui pourra travailler sur leur réparation.
La chasse à la prime doit parfaire la sécurité de l’application
Le bug bounty intervient au bout de la chaîne de sécurité. L’application est déjà passée par plusieurs audits de sécurité menés par l’Anssi (l’agence nationale de la sécurité des systèmes d’information). Les hackers du bug bounty apporteront un œil nouveau, et pourront utiliser les ficelles qu’ils ont développées au cours de leur expérience de chasseurs de bug.
Audit de sécurité et bug bounty sont donc complémentaires, comme nous l’expliquait Nicolas Kovacs, qui dirige des audits de sécurité le jour, et cherche des bugs la nuit, sous le nom nicknam3. « Dans un test pénétration classique, nous sommes soumis à un cadre très restreint : nous avons généralement une semaine pour tester et établir un rapport. Parfois, nous pouvons informer qu’il y a potentiellement une faille, mais nous n’avons pas le temps de la creuser. Dans le bug bounty, on peut creuser un problème particulier 24 heures sur 24 jusqu’à établir une preuve de concept », expliquait-il à Numerama lors d’une visite des locaux de YesWeHack.
Le cadre de la chasse aux bugs est défini au préalable
Les tests d’intrusion sont donc essentiels puisqu’ils permettent d’identifier les plus grosses failles ainsi que les parties de l’app potentiellement vulnérables. C’est un passage nécessaire en amont du bug bounty, afin de ne pas trop multiplier les primes. Mais le système de bug bounty s’avère nécessaire pour identifier les failles en détail.
L’équipe du projet de StopCovid et YesWeHack auront au préalable déterminé le terrain de jeu des hackers, et définit le type de failles recherchées. Il est possible que ce cadre soit très large comme relativement précis, et les hackers ne seront pas rémunérés s’ils en sortent.
Un programme lancé trop tôt ?
Pour l’instant, le détail du programme reste confidentiel, mais l’Anssi précise dans un communiqué qu’il sera rendu le 2 juin. Les 15 000 hackers inscrits sur la plateforme pourront aussi se lancer dans la chasse, même s’il ne devrait — en théorie — plus rester beaucoup de failles.
Quelques questions persistent quant à la sécurité de l’application : la communauté scientifique, mentionnée dans le premier rapport de la Cnil, semble ne plus être mobilisée pour son expertise technique. Plusieurs chercheurs avaient pourtant fait des retours sur la première publication de StopCovid, mais aucun retour n’a été officiellement publié.
Ensuite, si le gouvernement a communiqué de premières images de l’app, elle est toujours en cours de développement. Certains changements majeurs, comme celui de son algorithme de chiffrement, n’ont pas encore été effectués. Le bug bounty portera donc sur un prototype de l’app, comme le relève l’Anssi.
Reste que le gouvernement semble plus que confiant sur la date de mise en production de StopCovid : l’ouverture de la chasse au bug se tiendra le jour du débat et vote à l’Assemblée sur l’app. L’équipe du projet ne semble donc pas considérer l’éventualité d’un vote contre.
Mise à jour le 27 mai 2020 à 13h00 avec l’heure de début du bug bounty annoncé par Cédric O.
Mise à jour le 27 mai 2020 à 20h12 avec l’heure d’ouverture du bug bounty.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !