Louis Vuitton a ouvert les portes de son siège parisien aux hackers éthiques de YesWeHack lors d’un hackathon organisé début avril. Les deux sociétés se connaissent bien pour travailler ensemble depuis 3 ans rapporte Christophe Plouseau, DSI de la maison de maroquinerie et de prêt-à-porter de luxe. « Nous avons débuté avec un bug bounty en mode privé il y a plus de 3 ans et nous avons progressivement augmenté le nombre de chercheurs à ce programme », indique-t-il. Une progressivité nécessaire pour Xavier Leschaeve, RSSI de Louis Vuitton « afin de prendre la température de l’eau du bain ». Passé ce cap, « nous avons estimé que notre site et notre infrastructure étaient suffisamment robustes pour organiser un évènement public autour du bug bounty », glisse le DSI.
Une sensibilisation des collaborateurs sur fonds d’entraînement pour les JO
Au total une quarantaine de hackers européens se sont confrontés au site de Louis Vuitton pour découvrir des failles. Organisé par LV Neo, la branche numérique du groupe de luxe, et YesWeHack, cette opération comportait outre l’aspect challenge d’autres motivations. Parmi elles, « l’idée de rendre visible dans l’organisation Louis Vuitton ce qui est invisible notamment auprès des collaborateurs. Il y a donc une dimension pédagogique avec la tenue de plusieurs ateliers pour les salariés du siège afin de les sensibiliser à la sécurité », précise Christophe Plouseau. Un pari gagnant car « près de 400 collaborateurs sont venus et ont été sensibilisés ». Parmi les ateliers, il y avait les traditionnels tests de phishing, mais aussi un mentaliste pour démontrer les aspects psychologiques des cyberattaques. « Cela rend plus concret la cybersécurité qui peut apparaître abstraite et contraignante », reconnait Xavier Leschaeve.
L’évènement participe aussi à la préparation du groupe pour les Jeux Olympiques et Paralympiques de Paris de l’été 2024 « Pendant cette période, une partie des entreprises notamment des sponsors dont LVMH sera une des premières cibles. Depuis plusieurs mois, nous avons remonté notre niveau de sécurité. C’était donc une raison complémentaire d’organiser ce hackathon à trois mois des JO pour dire que l’on est prêt », explique Christophe Plouseau.
Un accélérateur pour découvrir les failles
Et les hackers ont donc tenté pendant deux jours de dénicher des failles sur un périmètre relativement large, « tout ce qui était ouvert sur Internet avec quelques exceptions comme les partenaires externes et les applications mobiles » explique le RSSI. Sans donner de détails, Xavier Leschaeve observe que « le nombre de failles était conforme à nos prévisions; il peut apparaître important en volume, mais il faut regarder le nombre de rapports qui n’ont pas tous été acceptés, des vulnérabilités ont été trouvées chez nos partenaires qui nous intéressent, mais qui ne rentrent pas dans le périmètre du bug bounty ». Le DSI précise par ailleurs, « les hackers qui étaient présents et qui ont l’habitude d’évènements comparables trouvent en général entre 200 et 300 failles, nous sommes loin de cela. Ils nous ont dit que le niveau de robustesse de Louis Vuitton est assez élevé ».
Au total, une quarantaine de hackers éthiques européens ont essayé de dénicher des failles dans le site de Louis Vuitton. (Crédit Photo: YesWeHack)
Le groupe qui dispose de ses propres chercheurs en cybersécurité estime que « le bug bounty est un accélérateur en concentrant pendant 36 heures les meilleurs hackers d’Europe ». Concrètement, ces derniers trouvent une faille, la soumettent à YesWeHack qui fait un triage en partenariat avec des équipes de LV Neo pour qualifier la brèche et la valider. De leur côté, « les équipes en charge du site Louis Vuitton analysent le chemin des chasseurs de bug pour en tirer les conséquences sur la gestion du développement et mieux se protéger », avoue Christophe Plouseau. Il faut être assez réactif pour corriger les failles rapidement, « car les hackers qui ont découvert la vulnérabilité ne veulent pas que leur exploit soit dupliqué par d’autres et minimise leurs efforts », observe Xavier Leschaeve. Il est donc impératif selon lui « d’animer la communauté, c’est un vrai travail. Pour les vulnérabilités sévères, la correction est immédiate; pour les autres failles, nous travaillons en mode agile avec des sprints de 15 jours pour les réparer ».
Des récompenses en constante augmentation
A l’occasion du hackathon, « rien n’a été trouvé à l’aube des JO qui nous inquiètent », assure le directeur des systèmes d’information de Louis Vuitton. « Par contre, il y a des choses à traiter rapidement, mais c’est plus de l’ajustement qu’autre chose. », reconnait-il. En terme de récompense, Louis Vuitton rétribue financièrement les chercheurs de bug. Christophe Plouseau ne communique pas le montant des primes (quelques milliers d’euros selon nos informations), mais indique « dans l’industrie du luxe, nous sommes les plus rétributeurs, car nous avons un niveau de sécurité assez haut ». Il ajoute « depuis le début de notre bug bounty, nous avons multiplié par trois les primes, car cela demande plus de temps, les méthodes sont plus complexes ».
La place du pentest par rapport au programme de chasse aux bugs a été évoquée. « Les deux sont complémentaires », affirme sans ambages Xavier Leschaeve. Un avis partagé par le DSI de Louis Vuitton, « nous avons d’abord fait du pentest, mais aujourd’hui nous faisons les deux ». Le pentest s’effectuera plutôt « quand il va y avoir un gros changement sur une application et il va apporter des informations que le bug bounty ne nous apportera pas par exemple sur le durcissement des versions d’un serveur ou d’autres éléments qui vont servir aux attaquants éthiques », souligne le RSSI. « Le bug bounty va plus loin dans la mécanique et c’est un monitoring continu. Il s’adapte parfaitement au mode agile que nous avons mis en place ». Pour les prochains hackathons, Louis Vuitton n’écarte pas l’idée d’ouvrir son programme de recherche de failles à un plus grand nombre de hackers et donc de le rendre public.