C’est une nouvelle preuve — s’il en fallait — qu’aucune structure informatique n’est à l’abri de faille de sécurité. La plateforme de bug bounty HackerOne permet aux hackers de se faire rétribuer pour les vulnérabilités informatiques qu’ils décèlent sur les sites internet. Concrètement, les entreprises paient des hackers pour trouver les failles et les réparer avant que des acteurs malveillants les trouve. Ironiquement, un des utilisateurs de HackerOne, surnommé msdian7, les a avertis d’une vulnérabilité… sur leur plateforme. Ils ont publié leur échange, avec le hacker sur leur site, et il a été repéré par Graham Cluley.
L’événement est finalement à leur avantage, puisqu’il démontre la rapidité de leur gestion des failles : en trois heures, la vulnérabilité était réparée, et HackerOne a récompensé msdian7 d’une enveloppe de 8 500 dollars.
Voici la fiche récapitulative de l’incident. Sa sévérité était estimée à 8,3/10 et HackerOne a récompensé l’utilisateur msidian7 de 8 500 dollars. // Source : Capture d’écran du site HackerOne
Un hacker pouvait accéder aux emails de hackers
Cette faille, identifiée comme « critique » permettait d’afficher les adresses email des utilisateurs. msdian7 a démontré qu’il pouvait passer par la fonctionnalité d’invitation aux projets.
Comme le développe HackerOne, leur système d’invitation permet aux entreprises et administrations qui utilisent la plateforme de convier les utilisateurs à leurs événements. Elles peuvent les inviter à des programmes de bug bounty privés ou public par exemple, en ajoutant leur email ou leur identifiant. Dans le second cas, l’organisation qui invite n’a pas accès à l’adresse email de son destinataire. Mais à cause d’une mise à jour du système de cybersécurité de HackerOne, la règle qui protégeait les adresses email ne fonctionnait plus, a révélé msdian7.
L’extrême réactivité de HackerOne
Habitué à gérer ce genre de cas pour ses clients, le site de bug bounty a réagi très rapidement. Moins de cinq minutes après avoir été averti au sujet de la vulnérabilité, une équipe était déployée pour la réparer. Résultat : à peine trois heures après qu’elle a reçu l’information, elle avait déjà déployé un patch pour réparer la faille. L’incident a donc été sans conséquence. La vulnérabilité était liée à une mise à jour effectué la veille, moins de 20 heures avant que la faille soit réparée. HackerOne a tout de même averti les deux utilisateurs dont les adresses email ont servi à démontrer la faille.
L’analyste Graham Cluley qualifie d’« impressionnante » la réponse de HackerOne. « Je pense que nous pouvons tous accepter que n’importe quel site complexe ait des vulnérabilités et des défauts de temps en temps. Ce qui importe le plus, c’est que ses équipes les identifient et les résolvent le plus rapidement possible, afin de réduire la fenêtre d’opportunité d’exploitation malveillante de ces failles. »
Les utilisateurs de HackerOne ont récolté plus de 40 millions de dollars de primes en 2019
Ce n’est pas la première fois que ce genre d’événement se produit : en décembre, un chercheur recevait 20 000 dollars de la part d’HackerOne pour avoir trouvé un moyen d’accéder aux rapports de vulnérabilité des utilisateurs de son site.
Dans son rapport annuel 2020, HackerOne affiche son excellente santé : sa communauté de hackers aurait doublé de volume par rapport à 2018, pour atteindre 600 000 membres. Ils ont récolté plus de 40 millions de dollars de primes, et ont signalé des vulnérabilités chez Toyota, Goldman Sachs ou encore Google. Sept utilisateurs de la plateforme ont cumulé plus d’un million de dollars de primes sur l’année 2019.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
