Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Bug Bounty : Interview de Yes We Hack, nouveau partenaire du ministère des Armées

Un Bounty avant mars
Internet 3 min
Bug Bounty : Interview de Yes We Hack, nouveau partenaire du ministère des Armées
Crédits : Marc Rees (licence CC-BY-SA 3.0)

Yes We Hack a été choisi par le Commandement de la cyberdéfense (COMCYBER) et ses 3 400 cybercombattants pour devenir la première plateforme à se lancer dans l’exercice d’un bug bounty. Romain Lecoeuvre, directeur technique de la société, a bien voulu répondre à nos questions lors du FIC de Lille.

Le ministère des Armées a mis le cap sur un programme de bug bounty. L’annonce a été faite lors du Forum Internationale sur la cybercriminalité. Une première qui a profité à la plateforme française Yes We Hack.

Que prévoit ce partenariat noué avec entre le ministère et votre plateforme ?

Le COMCYBER va pouvoir créer ses propres programmes sur les périmètres du ministère en invitant sa communauté de chercheurs, une communauté de confiance provenant de la réserve opérationnelle cyber. Tous ces chercheurs en vulnérabilité testeront donc les périmètres mis à contribution par le ministère des Armées. Le premier programme est prévu pour fin février, comme l’a annoncé la ministre, Florence Parly.

 « Périmètres », c’est-à-dire ?

Un site web, une URL, des adresses IP, ce peut être également des logiciels du ministère des Armées. Probablement vont-ils commencer par defense.gouv.fr, ou l’un de ses sous-domaines en particulier.

De notre côté, nous avons travaillé avec le COMCYBER lorsqu’il cherchait une solution innovante, capable de répondre à ses besoins en termes de périmètres exposés, par définition très vastes pour ce ministère. Il voulait aussi pouvoir mettre à profit sa réserve opérationnelle pour la faire monter en compétence au fil de ces tests.

Quelle est la genèse de ce partenariat ?

C’est Guillaume Vassault Houlière, CEO de Yes We Hack, qui avait discuté avec le vice-amiral Arnaud Coustillière voilà plus d’un an à la Nuit du Hack. Lors de nos échanges, nous avions pris pour exemple de ce qui faisait aux États unis avec des bug bounty tels Hack the Pentagon ou Hack the Air Force.

Le ministère a été séduit par les côtés innovateur et malléable. On peut en faire ce qu’on en veut, avec les gens qu’on veut, tout en faisant intervenir les acteurs que l’on veut. On a la main en permanence sur son programme : le démarrer, le modifier, le fermer quand on veut, inviter plus ou moins de chercheurs.

C’est complètement agile et dans l’air du temps de la transformation numérique.

Qui dit bug bounty, dit récompenses. Qu’en est-il exactement ?

Pour le moment, l’attribution des récompenses n’est pas définie. À dire vrai, nous sommes trop tôt dans le projet. Ces parties financières seront abordées lors des réunions préparatoires à venir.

De manière générale, les grilles de rémunération sont élaborées par les clients, en rapport avec les spécificités du périmètre et l’expertise demandée. Hors ministère des Armées, sur nos programmes classiques, les grilles vont de 50 à parfois plus de 10 000 euros.

Quel sera concrètement le rôle de Yes We Hack ?

Le COMCYBER font appel à nous pour pouvoir bénéficier d’une plateforme de confiance, où les rapports de vulnérabilités seront soumis par les réservistes opérationnels. Ces rapports seront stockés dans nos infrastructures. Chaque rapport sera chiffré avec une clé unique, et structuré afin, derrière, de pouvoir être capitalisé par le ministère.

Quel avantage de passer par une solution externalisée ?

Cela permet de cadrer au mieux son programme et, comme je le disais, d’uniformiser les rapports de vulnérabilités (failles recherchées, failles acceptées, etc.) plutôt que chacun fasse un programme en interne, remontant les failles de son côté, sous des formats différents.

Aurez-vous accès à ces rapports ?

Non, nous n’avons accès à aucun des rapports d’aucun de nos clients. Ils sont accessibles qu’aux seuls réservistes et au COMCYBER. L’avantage d’un tel schéma est que chaque client a la possibilité de se créer sa propre communauté de confiance via notre plateforme ouverte.

Vous êtes par définition amené à gérer des dossiers sensibles, mais avez-vous fait éprouver votre propre plateforme ?

En termes de sécurité, nous sommes nous-mêmes en programme de bug bounty public. Nous sommes donc testés par toute notre communauté depuis notre lancement, début 2016. Nous sommes à plus de 6 700 chercheurs sur la plateforme inscrits, qui la testent en permanence.

24 commentaires
Avatar de spidermoon Abonné
Avatar de spidermoonspidermoon- 24/01/19 à 20:40:26

après la French Tech, Yes We Hack. Peuvent pas trouver de nom français !!!

Avatar de linkin623 INpactien
Avatar de linkin623linkin623- 24/01/19 à 21:03:42

spidermoon a écrit :

après la French Tech, Yes We Hack. Peuvent pas trouver de nom français !!!

La technologie française ou Oui nous bricolons !

Avatar de lateo INpactien
Avatar de lateolateo- 24/01/19 à 21:53:20

« ce peut être également des logiciels du ministère des Armées »
:ooo:

« commencer par defense.gouv.fr, ou l’un de ses sous-domaines »
Aaaaaaaah…j'me disais bien…

« périmètres exposés, par définition très vastes pour ce ministère. »
:ooo:

« C’est complètement agile et dans l’air du temps de la transformation numérique. »
Ah, ok, en fait ils ont capté les mots-clefs à la mode dans ce ministère et su vendre leur truc.

M'enfin si on fait abstraction des éléments de langage désopilants, c'est plutôt positif comme contrat.

Édité par lateo le 24/01/2019 à 21:53
Avatar de lateo INpactien
Avatar de lateolateo- 24/01/19 à 21:59:53

On a évité le pire : ça aurait pu être en allemand.

Je blague mais à la réflexion ce n'est même pas drôle : on pourrait y venir une fois le royaume uni sorti de l'UE.

Avatar de fred42 INpactien
Avatar de fred42fred42- 24/01/19 à 22:06:49

Voyons, l'Irlande reste dans l'UE et vu les sociétés qui s'y installent, c'est un pays important. :D

Avatar de lateo INpactien
Avatar de lateolateo- 24/01/19 à 22:14:36

:transpi::non:

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 24/01/19 à 22:25:09

fred42 a écrit :

Voyons, l'Irlande reste dans l'UE et vu les sociétés qui s'y installent, c'est un pays important. :D

:sucre:

Avatar de Totone Abonné
Avatar de TotoneTotone- 25/01/19 à 06:44:56

Merci pour le sous titre ça m'a fait rire... :mdr2:

Sinon je pense que c'est une bonne chose en plus d'être franco français les petites structures bossent souvent pour les ministères et ça c'est bien le seul hic c'est au moment du paiement j'ai dépassé les 18 mois par l'éducation nationale... donc un autre ministère doit être du même bois... préparez un peut de tréso les gars vous allez en avoir besoin :8

Édité par Totone le 25/01/2019 à 06:45
Avatar de barlav Abonné
Avatar de barlavbarlav- 25/01/19 à 07:31:23

Si le but c'est d'avoir une visbilite internationale et non de s'enfermer dans un marche limite a 60M bouzeux, non c'est une mauvaise idee.
C'est mon avis.

Avatar de kgersen Abonné
Avatar de kgersenkgersen- 25/01/19 à 08:10:11

"Yes We Scam" aurait un meilleur nom plus réaliste.

Il n'est plus possible de commenter cette actualité.
Page 1 / 3