La chasse aux bugs est ouverte chez Cybermalveillance.gouv.fr. Afin d'éviter de passer pour un cordonnier mal chaussé, la plateforme étatique permettant d'informer et de porter assistance aux personnes et entreprises victimes d'une cybermenace (ransomware, sextorsion, faux ordres de virement...) verrouille sa sécurité. Ayant déjà mis en place plusieurs outils pour se défendre contre une grande variété d'attaques (injection de code SQL, XSS...), Cybermalveillance.gouv.fr a mis en place depuis fin 2019 a un bug bounty avec le prestataire YesWeHack. Jusqu'alors en mode privé, ce programme de chasse aux bugs est depuis ce 16 avril 2020 ouvert à tous les chasseurs de bugs potentiels, inscrits sur YesWeHack. Soit près de 15 000 contre une trentaine précédemment dans le mode privé. Les récompenses, en fonction de la criticité des failles remontées, vont de 50 à 1 500 euros.
« Nous avons fait de l'audit en boites blanches et noires, disposons de systèmes de protection actifs reverse proxy, pare-feux et multiplié les couches de sécurité pour une défense en profondeur », nous a expliqué Jérôme Notin, directeur général du dispositif Cybermalveillance.gouv.fr. « L'architecture de notre plateforme est pensée sécurité par conception. Le recours à du bug bounty va dans le sens de renforcer notre arsenal de protection et nous nous sommes tournés vers YesWeHack qui fait parti des pépites françaises dans le domaine ». Le contrat initial porte sur une durée d'un an et un appel d'offre sera effectué à l'échéance.
Une quinzaine de vulnérabilités découvertes avec le bug bounty privé
S'il est encore trop tôt pour dresser un bilan des vulnérabilités découvertes depuis l'ouverture en mode public de ce programme bug bounty - 8 rapports de sécurité ont été effectués à date -, les résultats de la chasse au bug en mode privé ont été satisfaisants. « Une quinzaine de vulnérabilités ont été identifiées et comblées », nous a indiqué Jérôme Notin. « J'encourage tous les responsables de projet et directions générales à recourir à ce type d'outils où ce sont des gentils qui sont derrière ».
Les chasseurs de bugs qui s'attellent à détecter des vulnérabilités potentielles via YesWeHack sont loin d'être uniquement des français. « Aujourd'hui la plateforme est présente dans 120 pays, on a plus de 60% d'Européens même si la première communauté est française, après nous avons les communautés allemande, anglaise, nordique et espagnole », nous a expliqué de son côté Guillaume Vassault-Houlière, CEO et co-fondateur de YesWeHack. « Cybermalveillance.gouv.fr est une institution publique qui veut être à l'état de l'art, et le bug bounty devient un outil incontournable dans le milieu de la sécurité qui permet de s'assurer qu'on est sécurisé en continu ».