[France] Un programme de “bug bounty” pour l’application Stopcovid

Dans le cadre de la lutte contre le COVID-19, l’application Stopcovid a été élaborée sous le pilotage de l'Inria (l'Institut national de recherche en sciences et technologies du numérique) afin de pouvoir mettre en place un traçage numérique des personnes contaminées. Cette application sera disponible à partir du 2 juin. L‘ANSSI a apporté à l’Inria son expertise technique sur le volet sécurité numérique du projet et lui a conseillé de soumettre l’application à un audit de type bug bounty. 

Le “bug bounty” intervient au terme d’une chaîne de tests et d’audits de sécurité. Il a pour but de trouver un maximum de vulnérabilités, critiques ou non, afin de pouvoir les corriger avant la publication de la première version. Ce travail repose sur la collaboration et les compétences techniques d’attaquants éthiques. Le code de l’application est dévoilé sur une plateforme et les attaquants sont invités à trouver tous les bogues possibles. En fonction du niveau de criticité du bug identifié (basé sur le système d’évaluation CVSS), une prime est donnée à l’attaquant (ici entre 50 et 2000€) et les remontées pourront permettre aux développeurs de l’application de renforcer sa sécurité. 

L’un des intérêts majeurs du “bug bounty” est la diversité de méthodologies et de techniques mises en œuvre dans le cadre des tests. Des centaines d’attaquants hautement qualifiés techniquement peuvent se retrouver sur ce type de programme et collaborer ensemble. De nombreux programmes de “bug bounty” ont déjà démontré leur efficacité en France et dans le monde.