Conférence TIC & Géopolitique 2017 de l’EPITA : les hackers, nos nouveaux alliés ?
Organisée le jeudi 30 mars 2017 au Campus Numérique & Créatif Paris Centre du Groupe IONIS, la nouvelle conférence TIC & Géopolitique de l’EPITA avait pour objectif de scruter les différents visages d’Internet et du monde de l’informatique en général en compagnie de nombreux experts. Retour sur la seconde table-ronde dédiée aux nouveaux rois du hack.
Découvrez l’article sur la table-ronde dédiée aux spécialistes du fake
De gauche à droite, Nicolas Arpagian, journaliste et modérateur de la conférence, Yassir Kazar, CEO de Yogosha, Damien Mangin, CTO de Le Figaro – CCM Benchmark, Yann Perchec, CTO de PeopleDoc et Florent Poissonnet, CTO de LaFourchette
Dans le secteur de l’automobile, les constructeurs sortent leurs modèles en faisant en sorte que ces derniers soient sûrs à 99,99 % après avoir multiplié les tests. Dans le secteur du numérique, l’approche est différente : on lance le produit avec l’intention de le perfectionner au fur et à mesure. Pour les entreprises concernées, ces améliorations constantes passent par la détection et la correction des potentielles failles de leur logiciel, système, site/plateforme ou application. Et dans cette quête permanente de la sécurité, nombreuses sont celles qui ont recours au Bug Bounty, une approche consistant à faire appel à des hackers externes. Un moyen de transformer les pirates en corsaires et de décliner de façon astucieuse le conseil donné par Al Pacino dans « Le Parrain 2 » : « Garde tes amis près de toi, et tes ennemis encore plus près. »
Hacking à la demande
Pour mettre la main sur ces hackers, les professionnels n’ont pas à explorer les recoins les plus sombres du dark web, ni à poster une offre d’emploi avec pour intitulé « Entité sérieuse cherche à se faire attaquer contre rémunération » : elles peuvent faire appel à des entreprises comme Yogosha (« défense » en japonais) où évolue Yassir Kazar en qualité de CEO. « Le Bug Bounty permet de trouver des vulnérabilités dans une entreprise en s’appuyant sur une communauté en réseau et de les rémunérer à la faille remontée, précisait l’intervenant. Le terme a été créé par Netscape en 1995, l’entreprise ayant été la première à utiliser officiellement cette approche. Depuis, deux familles de « hackers » ou « chercheurs » sont apparues : celle qui estime que ce travail est à forte valeur ajoutée, proposant ainsi ses services contre une rémunération, et celle qui, par acquis de conscience, décide de remonter les failles aux entreprises. Si ces dernières ne font rien après avoir été alertées, les « chercheurs » décident de rendre publique la faille en question pour les forcer à agir. Aujourd’hui, la démarche s’est internationalisée et, à Yogosha, nous avons décidé d’avoir une plateforme fermée, avec des chercheurs présélectionnés, pour répondre aux besoins des entreprises. »
Un choix pertinent
Bien entendu, toutes les entreprises n’ont pas à recourir au Bug Bounty. Damien Mangin, CTO de Le Figaro – CCM Benchmark, qui voit chaque mois passer quelque 50 millions de visiteurs uniques, a ainsi d’abord pesé le pour et le contre avant de se laisser convaincre. « Pour gérer la sécurité, un éditeur a trois approches possibles, notait-il. Il y a d’abord la gestion en interne, par peur de voir « ses bugs aller dehors ». Il y a ensuite la sous-traitance totale : on paye une société pour s’en occuper. Et il y a la dernière approche que nous avons choisie, celle du Bug Bounty. Ce choix nous semblait évident. En effet, nous n’étions pas suffisamment « armés » en interne pour être « bug free » et n’avions pas non plus envie de confier la sécurité en externe car cela représentait un travail continu : avec 25 personnes travaillant chaque jour sur nos sites, nous créons du bug au quotidien ! Du coup, le Bug Bounty est avantageux : nous payons le chercheur à chaque faille détectée et, gros avantage aussi pour nos équipes de développeurs en interne, ces chercheurs nous aident même en nous apportant la solution ! ».
Une réponse de plus pour la protection des données
Plateforme de services pour les ressources humaines de plusieurs entreprises, parmi lesquelles des banques et des sociétés d’assurance, PeopleDoc a choisi d’avoir recours aux « chercheurs », mais cela n’a pas toujours été le cas. « Nous avons commencé comme une start-up il y a dix ans, sans nous rendre compte de tous les enjeux, expliquait Yann Perchec, son CTO. Par la suite, nous avons fait appel à de nombreux audits sur la sécurité de notre plateforme. Désormais, avec notre croissance et nos 50 développeurs, nous nous retrouvons confrontés à des bugs quotidiens, rendant vite obsolètes les audits classiques. La solution est devenue assez naturellement celle du Bug Bounty. » Pour autant, PeopleDoc a d’abord dû trouver une structure de confiance, en l’occurrence Yogosha. « Nos contraintes sont très fortes car les entreprises nous remettent leur data RH. Nous avons donc contractuellement le devoir de ne pas perdre les données et qu’elles restent confidentielles : si on nous vole nos données, notre entreprise est finie ! D’où notre crainte initiale de faire appel à des hackers. Yogosha nous garantit d’avoir des gens connus qui travaillent sur nos plateformes, pas des hackers sortis de nulle part. C’est, en soit, du ethical hacking qui nous permet de nous approcher toujours plus du 100 % secure. »
À LaFourchette aussi, les corsaires se sont invités à la table. Logique quand on connaît l’attrait de l’entreprise pour le collaboratif, étant depuis longtemps adepte de l’Open Source comme l’annonçait son CTO, Florent Poissonnet. Mise en relation avec la société américaine Bugcrowd par sa « maison mère », l’entreprise n’a jamais regretté son choix. « LaFourchette est mobile first, avec une API et une clé pour faire fonctionner tout ça. Du coup, n’importe qui faisant du retro engineering peut fouiller dans notre code. Nous continuons de faire des audits pour nos mises à jour mais utilisons les services de Bugcrowd en complément afin de trouver certaines failles et d’obtenir un suivi de leurs chercheurs : ils nous expliquent comment ils ont pu tordre votre API comme vous ne l’auriez pas imaginé. » Une approche qui permet aussi de challenger les développeurs en interne. « Les gens qui font du code sont parfois très mauvais pour faire de la sécurité, alors qu’être un bon hacker nécessite un réel savoir-faire en la matière et de se mettre toujours au niveau. » Un avis partagé par Yassir Kazar : « Les entreprises confondent souvent les profils, sauf qu’un ingénieur en sécurité et un hacker sont différents d’un développeur ! Ils n’ont pas du tout les mêmes parcours, outils et « mindsets« . Avec le Bug Bounty, les développeurs peuvent monter en compétence en échangeant avec les hackers et comprendre les réflexes d’attaquants potentiels. »
Le juste prix
Selon les professionnels de cette conférence, tous les bugs ne se valent pas : un bug permettant de changer la couleur d’un bouton du site ne peut pas être comparé à une faille portant sur la protection de la data des utilisateurs. D’où la question de l’évaluation des tarifs pratiqués par les chasseurs. Chez Yogosha, la méthode se base sur l’impact de la découverte faite par le chercheur. « On s’appuie sur un standard de marché, permettant de donner un score à une faille selon sa criticité, précisait Yassir Kazar. Par exemple, si l’exploitation d’une faille ne nécessite pas un contact avec l’utilisateur final, elle s’avère bien plus dangereuse ! On a également mis en place une matrice liée au passif en sécurité de l’entreprise, à son appréciation du risque et l’étendue du périmètre « à agresser ». Avec cette matrice, on arrive à donner un score et ensuite à proposer un prix à nos clients leur permettant de se positionner. Toutefois, on ne travaille pas en dessous de 50 euros la faille décelée, sachant qu’une faille minime demande tout de même 1 h de travail. On ne veut pas précariser le travail des chercheurs. »
Bien que pouvant être importants, les tarifs proposés par les corsaires du numérique sont malgré tout acceptés par les entreprises, trop heureuses de pouvoir éviter une catastrophe. « Les discussions sont très saines et nous n’avons jamais eu de problème, confiait Damien Mangin. Cela coûte évidemment moins cher qu’un pentest (ou test d’intrusion) sérieux. Après, la question primordiale c’est le profil et la sélection des chercheurs. Ma théorie, c’est que les black hats ou bad guys, s’ils veulent m’attaquer, ils le feront de toute façon. Quitte à ce que cela arrive, autant connaître les auteurs. » Reste que le dialogue est possible, les corsaires n’étant pas du genre à proposer une rançon abrupte pour chaque faille repérée. « On a un espace avec le chercheur pour le rencontrer et discuter avec lui, précisait Yann Perchec. On peut donc toujours négocier le prix des prestations selon notre vision du critical fail par exemple. Ce dialogue est également utile pour le chercheur qui va aller là où cela paye le plus. Le principe consiste à toujours les inciter à chercher, y compris dans une appli visiblement déjà sécurisée. »
L’art de recruter des hackers
Être chercheur de bug peut ainsi s’avérer très lucratif. Mais qui peut prétendre effectuer ce travail en freelance ou auprès d’une entreprise comme Yogosha ? « Chez nous, il y a un processus de recrutement très construit, expliquait Yassir Kazar. Nous nous basons d’abord sur différents classements et sur notre réseau de conférences. Une fois le premier contact établi, on s’attarde sur le parcours pro du postulant, discute avec lui en conf call et, en cas de doute, demande des exemplaires « anonymisés » de rapport. Ce dernier point est très important : le transfert de savoir est capital car nos clients doivent pouvoir apprendre de ces failles. On a aussi un formulaire en ligne, ouverts aux candidatures libres. Finalement, la rare chose que l’on regarde finalement, ce sont les certifications. Chez nous, on trouve des passionnés, des étudiants… et de plus en plus de gens souhaitant vivre de leur passion en se professionnalisant ! » Bug Hunter serait donc bel et bien un métier d’avenir, à l’heure où la cybersécurité devient un véritable enjeu économique pour les entreprises (il n’y a qu’à voir la récente baisse de l’offre de rachat faite à Yahoo après la découverte de failles) et où l’informatique connaît une forte mutation de son identité, avec des projets livrés au jour le jour et une législation en faveur du droit à l’oubli et de la protection des données qui oblige tous les acteurs à se renforcer drastiquement.