Bug Bounty: il serait temps que la France s’y mette

Le 2 janvier 2015, le site TF1.fr a été victime d’une attaque informatique. Selon Zataz, des hackers auraient réussi à pénétrer dans le système informatique de la célèbre chaîne de télévision via une faille présente sur la partie « abonnement presse » du site; des données bancaires des clients auraient même été dérobées.

Cette affaire quoique d’une banalité malheureusement à toute épreuve m’interpelle et m’amène à quelques réflexions. D’abord, je me dis qu’encore une fois, il est très difficile de sécuriser une architecture Internet et que malheureusement, il n’existe pas beaucoup de systèmes sûrs et sans faille. Après coup, on a toujours tendance à dire « onauraitdu, yaka, fondraitkon, etc. » et, bien entendu on trouvera toujours un responsable, de préférence un malheureux subalterne qui n’est qu’une partie infime de l’échelle de responsabilités.

Mais dans un deuxième temps, j’essaye d’aller plus loin en m’appuyant sur le recul que j’ai pu prendre en vingt années passées en tant que professionnel de l’informatique. Je lis beaucoup les blogs étrangers principalement américains et je suis toujours autant fasciné par les différences de comportement qui peuvent exister entre mes confrères concitoyens et le reste du monde. Bon, je ne vous parlerai pas encore une fois de l’argent et du problème de conscience qui se pose à certains lorsqu’ils réalisent que malheureusement, l’argent gratuit des autres ne suffit pas et qu’en conséquence, il faudra immanquablement mettre un bout d’Adsense sur notre beau site, histoire de payer les quelques factures qui s’accumulent. Je sais que la Ré-éducation Nationale nous dit tous les jours que c’est mal mais comme l’a très bien dit James Carville, « it’s the economy stupid ! »

La différence culturelle est essentiellement pragmatique: je sais que si je développe un gros site web avec beaucoup d’interactions avec mes clients, indubitablement, je ne suis pas à l’abri de grosses problématiques de sécurité et bien entendu de bugs, à base d’injections, de buffer overflow, etc. Alors, en bon anglo-saxon (eux, pas moi, je suis Chti expatrié à Lyon), je m’efforce d’être pragmatique et de préparer le terrain: j’offre une récompense à toute personne qui me signalera un problème de sécurité sur mon site.  En anglais, on appelle cela un « Bug Bounty« . Voici par exemple les programmes pour des sites connus:

Au vue de cette liste, le moins que l’on puisse dire, c’est que l’on n’y trouve pas beaucoup de sites Francais ! Par exemple, j’ai cherché des programmes pour des poids lourds du Web Français tels que Orange, Free ou encore Leboncoin, je n’ai jamais pu y déceler la moindre trace de ce genre d’initiative. Ces sites sont pourtant directement exposés à de sérieuses attaques et au vue des interactions qui existent avec leurs clients, ils auraient tout intérêt à mettre en place un programme de Bug Bounty. La seule initiative qui va dans ce sens est celle du protocole d’alerte proposé par Zataz, mais l’idée diffère un peu.

Si maintenant, j’essaye de comprendre un peu le pourquoi du comment, voici quelques idées:

Tout d’abord, j’ai toujours l’impression qu’en France, les choses sont très difficiles en matière de facturation, surtout dans les grosses sociétés qui n’ont pas prévu la chose. Où Diable allons-nous pouvoir imputer ce genre de dépense ? Et puis, rémunérer une société qui n’est même pas référencée par les Achats, ou pire un particulier pour « service rendu », ce n’est pas quelque chose que l’on rencontre souvent et que l’on a l’habitude de gérer.

Dans un second temps, on pourrait aussi mettre en avant l’éco-système Français qui n’est pas très ouvert sur les initiatives de ce genre. Il y a dix ans déjà, l’affaire Guillermito est une preuve que la recherche individuelle n’est pas quelque chose qui a les faveurs des professionnels, qui y voient clairement une menace pour leurs intérêts. Enfin, moi, j’aurais plutôt dit leur image, un véritable désastre dans cette histoire ! Pour rappel, Guillermito avait apporté des preuves que l’anti-virus Viguard comportait un certain nombre de failles qu’il présentait en ligne. Par la suite, il a été condamné pour « contre-façon » et même accusé de « terrorisme » par la société qui l’a traîné devant les tribunaux. Dans un même registre, on pourrait aussi évoquer les affaires Tati-Kitetoa et Humpich. Même votre propre serviteur a déjà eu à « s’expliquer » à cause de son testeur de serveur SMTP.

Pour terminer, quelques conseils, dans un premier temps si vous êtes impliqué dans la gestion d’un gros site:

Si votre site fonctionne au moyen d’un CMS connu comme WordPress, Drupal, Joomla ou autre, vous n’êtes pas directement concernés. Ce genre de programme existe déjà et en général, ils fonctionnent très bien. Si par contre, votre site est un développement maison alors faites-le. Vous devez écrire une procédure avec éventuellement un workflow. Le mieux est sans doute de demander à votre RSSI, si vous en avez un, de s’en occuper. Prévoyez une page web particulière avec vos consignes, ce que vous acceptez (XSS, exécution à distance, buffer-overflow, etc.), ce que vous n’acceptez pas (DDOS). Mettez-y une adresse mail particulière ou mieux un formulaire adapté. Détaillez aussi les rétributions que vous êtes prêts à offrir.

Vous ne souhaitez pas rétribuer ceux qui vont vous signaler des gros problèmes sur votre site ? C’est là une grave erreur. Dans un premier temps, pensez au coût que peut représenter une attaque informatique: restauration des données en cas de destruction, mobilisation des équipes techniques pour colmater au plus vite les failles, audit éventuel, perte de chiffre d’affaire, etc. Je ne peux que vous engager à faire tout de suite un devis chez votre prestataire de services informatiques afin de lui demander ce que coûte un consultant en sécurité informatique par jour. A côté de cela, vous allez pouvoir bénéficier de l’expertise de certains pontes et sans même à vous en être soucié. Et je suis même convaincu que vous y gagnerez au change. Le jeu n’en vaut-il pas la peine ? Et n’oubliez pas non plus le déficit d’image que peut provoquer ce genre de sinistre. Vos futurs clients seront-ils toujours rassurés le jour où ils apprendront que vous vous êtes fait malencontreusement dérober toutes leurs données personnelles ? C’est le désastre assuré. Autre chose: ne soyez pas trop radin tout de même avec vos collaborateurs; évitez de leur donner des tshirts en guise de remerciement.

Enfin, si vous êtes vous-même un chasseur de bug:

Ne publiez jamais le résultat de vos travaux, ou alors supprimer toute référence envers le site sur lequel vous avez travaillé. Faites attention aux captures d’écran qui laissent beaucoup de traces. Si vous utilisez un outil développé par vous-même, faites en sorte qu’il soit facilement identifiable. Évitez par exemple que dans les logs du site Web que vous testez n’apparaisse ce genre d’information:

192.168.2.2 - - [28/Dec/2014:03:39:24 +0100] "GET /TestXSS0x11110x2222 HTTP/1.1" 200 2616 "-" "Mozilla/5.0 (compatible; R0x0rSam3m3an by HaxDevil-XSSBot/2.1; +http://www.thb3st.ua)"

A la place, modifier votre User-Agent comme ceci:

192.168.2.2 - - [28/Dec/2014:03:39:24 +0100] "GET /TestXSS0x11110x2222 HTTP/1.1" 200 2616 "-" "Mozilla/5.0 (compatible; Test Intrusion Detection/2.1; +http://www.pagasa.net/testintrusion.html)"

De sorte que si vos activités « suspectes » soient repérées par un IDS ou par un administrateur web, elles soient clairement identifiées. N’oubliez pas de bien documenter la page Web qui fait référence à ces mêmes activités.

Ne soyez pas trop « geek » lorsque vous entrez en contact avec la société. Évitez ce genre de prise de contact:

« Salu, moi sest Kevin le rox et j’ai chopé une XSS sur vote page web trucmuch.php; jvous donne tou le détaye contre 1 Bitcoin que tu envoi à l’adresse 64Trak2tKkE8vNoW1am5re8K6wUSQxqo1q »

Rappelez-vous qu’en face, vous aurez généralement un ou plusieurs décideurs informatiques avec qui vous allez avoir à discuter, voir négocier.

3 commentaires sur “Bug Bounty: il serait temps que la France s’y mette

  1. on peut dire que les américains sont vraiment trop loin au niveau de sécurité et d’anticipation de danger.J’ai pas mal de fois entendu que des pirates qui ont réussi à pénétrer dans des systèmes informatiques ont été récompensé voir embauché comme le cas de Facebook avec le hacker Chris Putnam.
    Jérôme Articles récents…Comment avoir un pass sur choixducode.pass.fr?My Profile

  2. c vrai qu’il y a une différence culturelle entre nous les Français et les américains. Il faut vraiment voir l’exemple de l’Amérique à ce niveau.

  3. Tu organises vraiment un bug bounty pour ton site ?
    Si oui, envoies moi un mail, ça serait avec plaisir que j’y participerais ! Y en à marre que ce soit que les black hat qui s’amusent ;)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *


*

CommentLuv badge