Bug Bounty : Interview de Yes We Hack, nouveau partenaire du ministère des Armées

Yes We Hack a été choisi par le Commandement de la cyberdéfense (COMCYBER) et ses 3 400 cybercombattants pour devenir la première plateforme à se lancer dans l’exercice d’un bug bounty. Romain Lecoeuvre, directeur technique de la société, a bien voulu répondre à nos questions lors du FIC de Lille.

Le ministère des Armées a mis le cap sur un programme de bug bounty. L’annonce a été faite lors du Forum Internationale sur la cybercriminalité. Une première qui a profité à la plateforme française Yes We Hack.

Que prévoit ce partenariat noué avec entre le ministère et votre plateforme ?

Le COMCYBER va pouvoir créer ses propres programmes sur les périmètres du ministère en invitant sa communauté de chercheurs, une communauté de confiance provenant de la réserve opérationnelle cyber. Tous ces chercheurs en vulnérabilité testeront donc les périmètres mis à contribution par le ministère des Armées. Le premier programme est prévu pour fin février, comme l’a annoncé la ministre, Florence Parly.

 « Périmètres », c’est-à-dire ?

Un site web, une URL, des adresses IP, ce peut être également des logiciels du ministère des Armées. Probablement vont-ils commencer par defense.gouv.fr, ou l’un de ses sous-domaines en particulier.

De notre côté, nous avons travaillé avec le COMCYBER lorsqu’il cherchait une solution innovante, capable de répondre à ses besoins en termes de périmètres exposés, par définition très vastes pour ce ministère. Il voulait aussi pouvoir mettre à profit sa réserve opérationnelle pour la faire monter en compétence au fil de ces tests.

Quelle est la genèse de ce partenariat ?

C’est Guillaume Vassault Houlière, CEO de Yes We Hack, qui avait discuté avec le vice-amiral Arnaud Coustillière voilà plus d’un an à la Nuit du Hack. Lors de nos échanges, nous avions pris pour exemple de ce qui faisait aux États unis avec des bug bounty tels Hack the Pentagon ou Hack the Air Force.

Le ministère a été séduit par les côtés innovateur et malléable. On peut en faire ce qu’on en veut, avec les gens qu’on veut, tout en faisant intervenir les acteurs que l’on veut. On a la main en permanence sur son programme : le démarrer, le modifier, le fermer quand on veut, inviter plus ou moins de chercheurs.

C’est complètement agile et dans l’air du temps de la transformation numérique.

Qui dit bug bounty, dit récompenses. Qu’en est-il exactement ?

Pour le moment, l’attribution des récompenses n’est pas définie. À dire vrai, nous sommes trop tôt dans le projet. Ces parties financières seront abordées lors des réunions préparatoires à venir.

De manière générale, les grilles de rémunération sont élaborées par les clients, en rapport avec les spécificités du périmètre et l’expertise demandée. Hors ministère des Armées, sur nos programmes classiques, les grilles vont de 50 à parfois plus de 10 000 euros.

Quel sera concrètement le rôle de Yes We Hack ?

Le COMCYBER font appel à nous pour pouvoir bénéficier d’une plateforme de confiance, où les rapports de vulnérabilités seront soumis par les réservistes opérationnels. Ces rapports seront stockés dans nos infrastructures. Chaque rapport sera chiffré avec une clé unique, et structuré afin, derrière, de pouvoir être capitalisé par le ministère.

Quel avantage de passer par une solution externalisée ?

Cela permet de cadrer au mieux son programme et, comme je le disais, d’uniformiser les rapports de vulnérabilités (failles recherchées, failles acceptées, etc.) plutôt que chacun fasse un programme en interne, remontant les failles de son côté, sous des formats différents.

Aurez-vous accès à ces rapports ?

Non, nous n’avons accès à aucun des rapports d’aucun de nos clients. Ils sont accessibles qu’aux seuls réservistes et au COMCYBER. L’avantage d’un tel schéma est que chaque client a la possibilité de se créer sa propre communauté de confiance via notre plateforme ouverte.

Vous êtes par définition amené à gérer des dossiers sensibles, mais avez-vous fait éprouver votre propre plateforme ?

En termes de sécurité, nous sommes nous-mêmes en programme de bug bounty public. Nous sommes donc testés par toute notre communauté depuis notre lancement, début 2016. Nous sommes à plus de 6 700 chercheurs sur la plateforme inscrits, qui la testent en permanence.