ZeroDisclo.com, une plateforme de signalement de faille « protégé »

Alors que le marché des bug bounties se structure, YesWeHack lance ZeroDisclo.com, une plateforme de remontée de faille non-rémunérée. L'objectif : responsabiliser la communauté en permettant aux hackers de signaler des vulnérabilités « anonymement », pour réduire les risques de poursuite.

Les services pour remonter les failles de sécurité sont en vogue. ZeroDisclo.com en est la dernière preuve. Lancé par YesWeHack, il s'adresse aux entreprises sans programme rémunéré de recherche de faille (bug bounty). Le but : offrir plus de sécurité (voire l'anonymat) aux personnes qui veulent signaler des problèmes, avec l'intention de responsabiliser la communauté. L'initiative se dit inspirée d'OpenBugBounty, un projet de « responsible disclosure » monté à la mi-2014.

« L’idée est que des failles soient remontées, qu’elles ne restent pas dans la tête d’un mec » nous affirme Manuel Dorne (Korben), co-créateur du projet. « C’est une plateforme qui permet aux personnes qui découvrent des failles de pouvoir les remonter en toute sécurité. Souvent, elles en proposent mais sans savoir quel en sera l’accueil, avec un risque de plainte de la part de la société victime. Rien de mieux pour inciter les gens à s’abstenir » poursuit-il.

Une garantie technique pour protéger les signalements

Dans les faits, ces remontées s'effectuent auprès d'un centre de réponse aux incidents informatiques (CERT). L'agence de sécurité informatique de l'État, l'ANSSI, gère par exemple le CERT-FR. Des sociétés privées disposent également du leur, même si cela semble encore plus rare. Aujourd'hui, « on peut certes remonter directement [les problèmes] à l’ANSSI, mais pareillement, ces personnes peuvent avoir une appréhension » à le faire, poursuit Manuel Dorne.

« Historiquement, des amis ont eu des soucis » en voulant avertir de vulnérabilités, nous précise Guillaume Vassault-Houlière, PDG de YesWeHack. Les entreprises concernées peuvent attaquer ces personnes qu'elles soupçonnent d'avoir pénétré leurs systèmes. « Le but était de fournir un moyen technique de signaler les failles, pour protéger une communauté qu'on connait depuis plus de dix ans » poursuit-il.

Jusqu'ici, les hackers détectant une faille avaient soit tendance à passer par l'ANSSI, des outils comme le protocole Zataz ou Hackerzvoice, l'association historique qui a engendré YesWeHack. Depuis la loi Numérique, l'ANSSI peut recevoir des signalements en protégeant l'identité du découvreur s'il n'y a pas de preuve d'intrusion. Interrogée, l'agence nous a indiqué recevoir à peine une dizaine de remontées par semaine.

Il s'agit tout de même d'un combat de longue date de son directeur Guillaume Poupard, avec lequel Guillaume Vassault-Houlière dit s'être longuement entretenu avant de lancer sa plateforme. L'ENISA, l'agence de sécurité informatique européenne, a aussi été mise dans la boucle. « Nous sommes connus de l’ANSSI et nous rentrons dans le cadre de la loi sur les lanceurs d’alerte en tant que plateforme » ajoute Manuel Dorne.

Une transmission « anonymisée » vers des CERT sélectionnés

La principale promesse est donc l'anonymat pour l'expéditeur. Le contenu de la faille étant chiffré (via OpenPGP.js, avec la clé publique du CERT visé), ZeroDisclo.com n'est pas censé pouvoir être accusé de recel. Le service ne voit que les métadonnées (les données générales sur la faille, dont le niveau de gravité CVSS), ce qui lui permet d'effectuer un tri minimal dans les signalements acceptés.

La plateforme est accessible via Tor et fournit un justificatif de dépôt, horodaté et signé via la blockchain, pour prouver la bonne foi du hacker au besoin. Pour le moment, les CERT contactables sont avant tout des entités publiques, même si des entreprises demanderaient déjà à s'inscrire.

Une future fonction doit permettre à une entreprise de suivre les remontées concernant ses noms de domaine. Par exemple, si le CERT-FR reçoit une alerte sur un site de Webedia, la société en sera avertie automatiquement. La fonction doit être gratuite, comme le reste du site.

Selon Guillaume Vassault-Houlière, il s'agit surtout d'un « coup de communication » et d'un service rendu à la communauté, qui a demandé deux mois de travail, dont deux semaines de développement avec Digital Security. Rappelons que les revenus de la société passent plutôt par la plateforme de bug bounty (programme de recherche de faille) B0unty Factory lancée il y a un an (voir notre entretien). Un créneau sur lequel la concurrence s'est créée rapidement, avec d'autres services à portée européenne comme Yogosha. 

Les propos de Manuel Dorne ont été recueillis par Marc Rees.