Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

ZeroDisclo.com, une plateforme de signalement de faille « protégé »

Blockchain my CERT
Internet 4 min
ZeroDisclo.com, une plateforme de signalement de faille « protégé »

Alors que le marché des bug bounties se structure, YesWeHack lance ZeroDisclo.com, une plateforme de remontée de faille non-rémunérée. L'objectif : responsabiliser la communauté en permettant aux hackers de signaler des vulnérabilités « anonymement », pour réduire les risques de poursuite.

Les services pour remonter les failles de sécurité sont en vogue. ZeroDisclo.com en est la dernière preuve. Lancé par YesWeHack, il s'adresse aux entreprises sans programme rémunéré de recherche de faille (bug bounty). Le but : offrir plus de sécurité (voire l'anonymat) aux personnes qui veulent signaler des problèmes, avec l'intention de responsabiliser la communauté. L'initiative se dit inspirée d'OpenBugBounty, un projet de « responsible disclosure » monté à la mi-2014.

« L’idée est que des failles soient remontées, qu’elles ne restent pas dans la tête d’un mec » nous affirme Manuel Dorne (Korben), co-créateur du projet. « C’est une plateforme qui permet aux personnes qui découvrent des failles de pouvoir les remonter en toute sécurité. Souvent, elles en proposent mais sans savoir quel en sera l’accueil, avec un risque de plainte de la part de la société victime. Rien de mieux pour inciter les gens à s’abstenir » poursuit-il.

Une garantie technique pour protéger les signalements

Dans les faits, ces remontées s'effectuent auprès d'un centre de réponse aux incidents informatiques (CERT). L'agence de sécurité informatique de l'État, l'ANSSI, gère par exemple le CERT-FR. Des sociétés privées disposent également du leur, même si cela semble encore plus rare. Aujourd'hui, « on peut certes remonter directement [les problèmes] à l’ANSSI, mais pareillement, ces personnes peuvent avoir une appréhension » à le faire, poursuit Manuel Dorne.

Manuel Dorne Korben
Manuel « Korben » Dorne au FIC 2017 - Crédits : Marc Rees (licence: CC by SA 4.0)

« Historiquement, des amis ont eu des soucis » en voulant avertir de vulnérabilités, nous précise Guillaume Vassault-Houlière, PDG de YesWeHack. Les entreprises concernées peuvent attaquer ces personnes qu'elles soupçonnent d'avoir pénétré leurs systèmes. « Le but était de fournir un moyen technique de signaler les failles, pour protéger une communauté qu'on connait depuis plus de dix ans » poursuit-il.

Jusqu'ici, les hackers détectant une faille avaient soit tendance à passer par l'ANSSI, des outils comme le protocole Zataz ou Hackerzvoice, l'association historique qui a engendré YesWeHack. Depuis la loi Numérique, l'ANSSI peut recevoir des signalements en protégeant l'identité du découvreur s'il n'y a pas de preuve d'intrusion. Interrogée, l'agence nous a indiqué recevoir à peine une dizaine de remontées par semaine.

Il s'agit tout de même d'un combat de longue date de son directeur Guillaume Poupard, avec lequel Guillaume Vassault-Houlière dit s'être longuement entretenu avant de lancer sa plateforme. L'ENISA, l'agence de sécurité informatique européenne, a aussi été mise dans la boucle. « Nous sommes connus de l’ANSSI et nous rentrons dans le cadre de la loi sur les lanceurs d’alerte en tant que plateforme » ajoute Manuel Dorne.

Une transmission « anonymisée » vers des CERT sélectionnés

La principale promesse est donc l'anonymat pour l'expéditeur. Le contenu de la faille étant chiffré (via OpenPGP.js, avec la clé publique du CERT visé), ZeroDisclo.com n'est pas censé pouvoir être accusé de recel. Le service ne voit que les métadonnées (les données générales sur la faille, dont le niveau de gravité CVSS), ce qui lui permet d'effectuer un tri minimal dans les signalements acceptés.

La plateforme est accessible via Tor et fournit un justificatif de dépôt, horodaté et signé via la blockchain, pour prouver la bonne foi du hacker au besoin. Pour le moment, les CERT contactables sont avant tout des entités publiques, même si des entreprises demanderaient déjà à s'inscrire.

Une future fonction doit permettre à une entreprise de suivre les remontées concernant ses noms de domaine. Par exemple, si le CERT-FR reçoit une alerte sur un site de Webedia, la société en sera avertie automatiquement. La fonction doit être gratuite, comme le reste du site.

Selon Guillaume Vassault-Houlière, il s'agit surtout d'un « coup de communication » et d'un service rendu à la communauté, qui a demandé deux mois de travail, dont deux semaines de développement avec Digital Security. Rappelons que les revenus de la société passent plutôt par la plateforme de bug bounty (programme de recherche de faille) B0unty Factory lancée il y a un an (voir notre entretien). Un créneau sur lequel la concurrence s'est créée rapidement, avec d'autres services à portée européenne comme Yogosha. 

Les propos de Manuel Dorne ont été recueillis par Marc Rees.

5 commentaires
Avatar de picatrix INpactien
Avatar de picatrixpicatrix- 27/01/17 à 10:45:09

c'est pas con du tout comme business model.
Les hackers font remonter anonymement et bénévolement les failles ... et on revend tout ça sur le darknet :fumer:

Avatar de Soriatane Abonné
Avatar de SoriataneSoriatane- 27/01/17 à 11:01:28

Vu que le système utilise GPG, personne à part l'émetteur et le récepteur ne pourront lire le compte-rendu de la faille.

Et une clé GPG peut-être unique et associé à aucune identité connue.

Avatar de matroska INpactien
Avatar de matroskamatroska- 27/01/17 à 13:33:05

Zataz c'est trop bancal comme site...

:transpi: :transpi:

Avatar de abitbool INpactien
Avatar de abitboolabitbool- 27/01/17 à 17:20:14

Si j'ai bien compris, la personne signalant la faille sera anonyme, et son contenu directement transmis à la société concernée ?

C'est une bonne idée même si c'est dommage d'en arriver là... Il y a eu des plaintes pour des signalements de failles sans qu'elles soient utilisées :(

Avatar de Zulgrib Abonné
Avatar de ZulgribZulgrib- 27/01/17 à 23:54:38

Déjà contacté pour une entreprise (pour recevoir des signalements de failles), ils n'ont pas l'aire de vouloir donner signe de vie. (Pas de confirmation de réception ou autre)
C'est dommage.

Il n'est plus possible de commenter cette actualité.