Bug Bounty détecte les failles de sécurité

Les hackers améliorent la sécurité IT

Des spécialistes de HackerOne ont traqué pendant six semaines les failles de sécurité de l’Espace clients de Swisscom. Et ceci en toute légalité, car avec l’initiative Bug Bounty, Swisscom cherche à se prémunir au mieux contre les cybercriminels.

Christoph Widmer (texte), 19 décembre 2016

Ces dernières semaines, les services en ligne de Swisscom ont été mis à l’épreuve. En effet, une équipe de hackers du monde entier s’est ingéniée à déceler les failles de sécurité de l’Espace clients, qui pourrait potentiellement faire l’objet d’attaques de la part de cybercriminels. Ces hackers d’un genre particulier ne cherchent pas à nuire à Swisscom, bien au contraire, ils travaillent pour son compte.

 

 

HackerOne: la plateforme des hackers pour les Bug Bounties

 

Personne ne doit s’inquiéter pour la sécurité de ses données. Bien au contraire: grâce à l’engagement des hackers, Swisscom deviendra encore plus sûre. Les hackers travaillent pour la start-up américaine HackerOne offrant une plateforme, où des chercheurs en sécurité participent à des Bug Bounties, c’est-à-dire à des chasses aux primes récompensant la détection de failles de sécurité. En d’autres termes, des hackers bienveillants traquent pour le compte des entreprises des failles dans leurs systèmes de sécurité et leur permettent ainsi de les combler.

L’entreprise de sécurité dénombrerait en moyenne 30'000 attaques par seconde.

Pour Sophus Siegenthaler, CEO du prestataire de services de sécurité bernois cyllective et adepte des Bug Bounties, la sécurité du réseau est primordiale: «Actuellement, dans le web, c’est la guerre cybernétique totale. Les attaques ont constamment lieu partout.» Pour étayer ses propos, il nous montre un planisphère en ligne de l’entreprise de sécurité Norse, où les cyberattaques sont visualisées en temps réel. On assiste en direct à cette guerre électronique mondiale. A en croire Norse, la carte ne représenterait que 0,1 pour cent des attaques. En réalité, l’entreprise dénombrerait en moyenne 30'000 attaques par seconde.

 

 

L'expert pour la sécurité des réseaux Sophus Siegenthaler analyse les cyberattaques. Photo: Jonas Weibel.

 

 

La Crow Security améliore la sécurité de l’Espace clients

 

Alors que les tests de sécurité sont normalement réalisés par quelques experts mandatés par une entreprise spécialisée, Swisscom a opté en plus pour l’approche «Crowd Security». Concrètement, cela signifie que des hackers bienveillants («White Hat Hacker») collaborant avec la plateforme HackerOne recherchent pendant six semaines les failles d’une copie de l’Espace clients de Swisscom ne renfermant pas les données réelles des clients.

 

La méthode est efficace et avantageuse: «Chez Bug Bounties, les chercheurs en sécurité sont bien plus nombreux et seuls ceux qui détectent une faille dans le système reçoivent une prime», explique Stephan Rickauer, expert en sécurité chez Swisscom et responsable du programme.

Plus la faille décelée est dangereuse, plus la prime est élevée. Il n’en demeure pas moins que pour les hackers il serait plus lucratif de s’adonner à leurs activités de manière illégale.

Plus la faille décelée est dangereuse, plus la prime est élevée. Il n’en demeure pas moins que pour les hackers il serait plus lucratif de s’adonner à leurs activités de manière illégale: «Les entreprises paient gros pour la détection des failles, car elles savent que le marché noir offre des primes encore plus juteuses aux hackers mal intentionnés», précise Sophus Siegenthaler. «Sur ce marché, il n’est pas rare que des criminels reçoivent un million de dollars pour la révélation de failles très graves de la sécurité informatique.»  

 

 

La carte de Norse présente une fraction des cyberattaques perpétrées dans le monde. Source: map.norsecorp.com

 

 

Si les Bug Bounties sont particulièrement prisés des hackers, c’est pour la gloire et la reconnaissance qu’ils en tirent. En effet, HackerOne publie la liste des participants de ses Bug Bounties. Ceux qui détectent des failles de sécurité obtiennent des points qui s’ajoutent à leur «score de réputation». Sur la base de ces points, HackerOne publie le palmarès des hackers les plus doués.

 

 

Peu de failles et des primes modestes

 

Les dix hackers de HackerOne affichant le meilleur score ont eu un accès exclusif à l’Espace clients de Swisscom pendant deux semaines pour y détecter d’éventuelles failles. Les autres participants se sont mis à la besogne après eux. Résultat de la campagne à l’issue de six semaines: 98 chercheurs en sécurité ont mis à jour 48 lacunes, un score honorable au vu de la durée et du nombre de participants.

Aucune lacune grave du système n’a été détectée. Une seule faille de ce type aurait coûté près de 10'000 dollars à Swisscom.

La prime la plus élevée versée par Swisscom a été de 1250 dollars, car les points faibles détectés présentaient peu ou pas de danger. Aucune lacune grave du système n’a été détectée. Une seule faille fondamentale aurait coûté près de 10'000 dollars à Swisscom, la somme totale qui a finalement été dépensée pour toutes les primes versées. Un point critique au cours de cette campagne a été l’accès à la plateforme de test de l’Espace clients, qui était par moment surchargée.

 

 

Stephan Rickauer dirige le programme Bug Bounty de Swisscom. Photo: Markus Lamprecht

 

 

Primes pour «hackers bienveillants»


De l’avis de Rickauer, les Bug Bounties sont plutôt exceptionnelles en Suisse, où l’on opte encore pour le service-conseil classique en matière de sécurité. Certains craignent que des failles découvertes au cours de tels Bug Bounties pourraient être exploitées sans en informer les clients.

 

Pour Rickauer, le risque de faire l’objet de cyberattaques ne peut pas être évité, il vaut donc mieux se poser la question de savoir comment traiter avec les hackers.»

 

 

 

Cinq astuces pour vous prémunir contre les cybercriminels

 

Ce ne sont pas que les entreprises qui peuvent faire l’objet d’attaques venant de cybercriminels, mais aussi des personnes privées. En respectant les mesures suivantes, vous pouvez nettement améliorer la protection de vos données:

  • Maintenez votre système d’exploitation et vos programmes à jour. Effectuez régulièrement des updates, pour autant que vous vous trouviez dans un réseau sûr.
  • Réalisez régulièrement une copie de sécurité (backup) de votre ordinateur sur un support externe (disque dur ou solution de cloud sécurisée).
  • Modifiez les mots de passe prédéfinis. Le nouveau mot de passe devrait comporter au moins huit signes constitués de lettres, chiffres, caractères spéciaux, majuscules et minuscules. N’utilisez jamais les mêmes mots de passe pour différents services et dispositifs.
  • Installez un antivirus sur votre PC.
  • Naviguez sur internet de manière avisée. Une offre qui paraît trop alléchante pour être vraie devrait susciter la prudence. N’ouvrez aucun e-mail provenant d’expéditeurs inconnus. Ignorez et effacez les messages vous demandant d’entrer vos données de login ou d’ouvrir des pièces jointes.

 

 

Bug Bounty chez Swisscom

Les privés et les entreprises peuvent participer au programme Bug Bounty de Swisscom et ainsi peut-être résoudre des failles de sécurité.  

 

 

 

 

 

Participez à la discussion

 

Que pensez-vous de la stratégie qui consiste à engager des hackers?

 

Conditions d’utilisation

Nous vous remercions de votre contribution. Nous publions vos commentaires du lundi au vendredi.