Pour affiner la sécurité de son application de contact tracing, l'équipe du projet StopCovid va lancer un bug bounty sur la plateforme YesWeHack. Une vingtaine de hackers européens triés sur le volet par la plateforme va décortiquer l'application à la recherche de failles à partir du 27 mai, puis le programme sera ouvert au public le 2 juin.

Très attendu par les chercheurs en cybersécurité, le programme de bug bounty sur StopCovid a ouvert à 19h15 le 27 mai. Initialement annoncé à 14h, il aura finalement attendu le vote positif de l’Assemblée pour être lancé, comme l’a relevé le journaliste Clément Pouré.

Dans un premier temps, la chasse à la prime est ouverte à 21 hackers européens triés sur le volet par YesWeHack, la plateforme française en charge du programme. Ils auront plusieurs jours pour créer des démonstrations de hack qui nuiraient à l’application, dont ils estimeront la gravité.

Ensuite, le personnel de la plateforme de bug bounty se chargera d’attribuer à ces démonstrations un score de criticité, le CVSS, en accord ou non avec les hackers. Plus le score sera élevé, plus les hackers empocheront un chèque important. « L’application StopCovid étant développée à titre gracieux, c’est YesWeHack qui paiera les primes des hackers. Ces dernières s’élèveront à 2 000 euros pour les failles les plus critiques  », précise le leader européen dans un communiqué.

YesWeHack a invité une vingtaine de hackers parmi les mieux classés sur la plateforme. // Source : YesWeHack

Habituellement, les primes sont payées par l’entreprise qui commandite la chasse aux failles de sécurité. C’est peut-être ce qui explique que la rémunération pour les failles les plus critiques de StopCovid s’avère relativement modeste étant donné l’ambition de l’app d’équiper tous les Français. Si de nombreuses entreprises paient les hackers au même niveau (entre 1 500 et 3 000 euros pour les failles critiques), des entreprises comme Qwant ou OVH déboursent jusqu’à 10 000 euros.

YesWeHack se chargera de remonter les vulnérabilités découvertes par les hackers à l’équipe du projet StopCovid, qui pourra travailler sur leur réparation.

La chasse à la prime doit parfaire la sécurité de l’application

Le bug bounty intervient au bout de la chaîne de sécurité. L’application est déjà passée par plusieurs audits de sécurité menés par l’Anssi (l’agence nationale de la sécurité des systèmes d’information). Les hackers du bug bounty apporteront un œil nouveau, et pourront utiliser les ficelles qu’ils ont développées au cours de leur expérience de chasseurs de bug.

Audit de sécurité et bug bounty sont donc complémentaires, comme nous l’expliquait Nicolas Kovacs, qui dirige des audits de sécurité le jour, et cherche des bugs la nuit, sous le nom nicknam3. « Dans un test pénétration classique, nous sommes soumis à un cadre  très restreint : nous avons généralement une semaine pour tester et établir un rapport. Parfois, nous pouvons informer qu’il y a potentiellement une faille, mais nous n’avons pas le temps de la creuser. Dans le bug bounty, on peut creuser un problème particulier 24 heures sur 24 jusqu’à établir une preuve de concept  », expliquait-il à Numerama lors d’une visite des locaux de YesWeHack.

Le cadre de la chasse aux bugs est défini au préalable

Les tests d’intrusion sont donc essentiels puisqu’ils permettent d’identifier les plus grosses failles ainsi que les parties de l’app potentiellement vulnérables. C’est un passage nécessaire en amont du bug bounty, afin de ne pas trop multiplier les primes. Mais le système de bug bounty s’avère nécessaire pour identifier les failles en détail.

L’équipe du projet de StopCovid et YesWeHack auront au préalable déterminé le terrain de jeu des hackers, et définit le type de failles recherchées. Il est possible que ce cadre soit très large comme relativement précis, et les hackers ne seront pas rémunérés s’ils en sortent.

Un programme lancé trop tôt ?

Pour l’instant, le détail du programme reste confidentiel, mais l’Anssi précise dans un communiqué qu’il sera rendu le 2 juin. Les 15 000 hackers inscrits sur la plateforme pourront aussi se lancer dans la chasse, même s’il ne devrait — en théorie — plus rester beaucoup de failles.

Quelques questions persistent quant à la sécurité de l’application : la communauté scientifique, mentionnée dans le premier rapport de la Cnil, semble ne plus être mobilisée pour son expertise technique. Plusieurs chercheurs avaient pourtant fait des retours sur la première publication de StopCovid, mais aucun retour n’a été officiellement publié.

Ensuite, si le gouvernement a communiqué de premières images de l’app, elle est toujours en cours de développement. Certains changements majeurs, comme celui de son algorithme de chiffrement, n’ont pas encore été effectués. Le bug bounty portera donc sur un prototype de l’app, comme le relève l’Anssi.

Reste que le gouvernement semble plus que confiant sur la date de mise en production de StopCovid : l’ouverture de la chasse au bug se tiendra le jour du débat et vote à l’Assemblée sur l’app. L’équipe du projet ne semble donc pas considérer l’éventualité d’un vote contre.

Mise à jour le 27 mai 2020 à 13h00 avec l’heure de début du bug bounty annoncé par Cédric O.

Mise à jour le 27 mai 2020 à 20h12 avec l’heure d’ouverture du bug bounty.

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux