L’application StopCovid entre les mains des chasseurs de bugs

Date:

Mis à jour le 22/06/2020

L’équipe-projet StopCovid lance, à compter de mercredi 27 mai, un programme de Bug Bounty avec la startup française YesWeHack pour renforcer la sécurité de l’application StopCovid. Cette démarche mobilisera une communauté d’experts en cybersécurité pour rechercher de potentielles vulnérabilités au sein de l’application et de son infrastructure.

Présentation Bug Bounty StopCovid

 
Bug Bounty StopCovid

Dans la continuité de la volonté de fiabilité que l’équipe-projet StopCovid souhaite maintenir, la sécurité de l'application, actuellement développée sous forme d'un prototype (en amont de toute décision politique), sera testée par des hackers éthiques (appelés « hunters »).

La France est le premier pays à faire appel à un programme de Bug Bounty pour sécuriser son application de contact tracing. En cas de détection de failles, ces dernières seront signalées à l’équipe-projet StopCovid en charge du développement de l’application via des rapports détaillés, afin d’apporter les corrections potentielles.

Des chasseurs de bugs internationaux et indépendants

Le Bug Bounty offre des capacités de recherches de bugs et de vulnérabilités démultipliées, grâce à la participation de hackers éthiques se mettant dans la peau de hackers malveillants. Dans le cadre du projet StopCovid, une vingtaine d'experts répartis dans toute l'Europe commenceront à tester la sécurité de l'application, ce mercredi 27 mai. Ils seront suivis dès le 2 juin par l’ensemble des hackers de la communauté YesWeHack qui le souhaiteront. En cas de découverte d’une vulnérabilité par la communauté, l’équipe-projet StopCovid sera ainsi en mesure de procéder à la correction des bugs critiques pour le bon fonctionnement de l'application.

Les retours de ces contributeurs seront publiés sur le site YesWeHack et déversés sur le GitLab Inria StopCovid sur lequel est publié le code source de l’application StopCovid. Au-delà de cette communauté, le code source sera accessible à tous ceux qui souhaitent le consulter et apporter des contributions.

Un appel à la communauté primordial

L’ANSSI et Inria se félicitent de pouvoir faire appel à la communauté d'experts en cybersécurité, via le recours au Bug Bounty. Souveraineté, confidentialité et sécurité sont les grands principes qui régissent cette démarche. Cette mobilisation générale garantira une fiabilité optimale de l'application, tout au long de son cycle de vie.

« Pour l’ANSSI, la sécurité de l’application doit être assurée par le cumul de plusieurs procédés. L’aide à la conception sécurisée puis l'audit de l’application réalisé par nos experts, doivent être complétés par le contrôle du code publié en open source par la communauté numérique et par l’organisation de recherches de failles informatiques, de types bug bounty », explique Guillaume Poupard, directeur général de l’ANSSI.

« Pour Inria, comme pour l'ensemble des partenaires et contributeurs de l'équipe-projet StopCovid, la cybersécurité est une préoccupation majeure, afin de pouvoir mettre à la disposition des citoyens une application s'appuyant sur les plus hauts standards en termes de sécurité et le dernier cri des algorithmes de cryptographie.  Comme dans tout système informatique, des failles peuvent exister, d’où l’importance de l’engagement dans le projet de l’ANSSI et de spécialistes du domaine, comme YesWeHack pour nous prémunir d’éventuelles attaques malveillantes », déclare Bruno Sportisse, PDG d'Inria.

Actualités du Bug Bounty privé

  • Depuis l’ouverture du programme le 27 mai, 35 hackers éthiques européens dont 21 français ont été sélectionnés et invités par YesWeHack. 27 hackers ont à ce jour accepté l'invitation. 
  • La phase privée du programme permet à l’équipe-projet StopCovid de faire tester l'ensemble du fonctionnel et de l'infrastructure de l’application. 
  • Les infrastructures d’hébergement d'Outscale Dassault Systèmes de l’application ont par ailleurs déjà fait l’objet d’un programme de Bug Bounty Public Outscale YesWeHack.
  • Dans le strict cadre de cette phase privée, les serveurs de backend sont joignables au travers de liens VPN. Des codes de soumissions (+30 000) sont également fournis aux hunters afin qu’ils puissent tester l’ensemble du processus de l’application : du téléchargement jusqu’à l’étape de déclaration (scan de QR code ou saisie du code remis par les autorités de santé).
  • Les codes de soumission, pour des raisons fonctionnelles évidentes d'intégrité de données, ne pourront être fournis lors du passage en public du programme et de la mise à disposition officielle de l'application au public. Il en sera de même pour l'accès privilégié aux infrastructures.
  • La phase privée du Bug Bounty a été clôturée le 01 juin. Sur les 12 bugs identifiés dans le cadre du programme YesWeHack, 7 ont été acceptés car entrant dans le périmètre du Bug bounty ou étant d'intérêt général. Pour en savoir plus : rendez-vous sur le gitlab Inria StopCovid où tous les bugs acceptés ont été reportés.
  • Depuis le 2 juin, jour de lancement de l'application StopCovid, le programme de Bug Bounty public est accessible sur la plate-forme de YesWeHack