Dropbox : Des hackers…au service de la sécurité

Sécurité
avis-experts-dropbox-securite-it-hackers

Pourquoi ne pas solliciter les hackers, ces génies de l’informatique, dans une démarche essentiellement positive ?

La culture du “hacking” s’est installée durablement. Mais si les pirates informatiques peuvent être mal intentionnés, il existe également de bonnes âmes parmi cette communauté de hackers autoproclamés et œuvrant à plein temps.

Au-delà de leur microcosme restreint, les hackers exercent désormais une grande influence dans le milieu des développeurs du monde entier.

Alors pourquoi ne pas solliciter ces génies de l’informatique dans une démarche essentiellement positive ?

C’est ce que font de plus en plus d’éditeurs de logiciels, et particulièrement ceux qui proposent des solutions informatiques aux entreprises. Ils offrent la possibilité aux utilisateurs de participer au contrôle qualité et leur offrent une contrepartie financière pour leur aide, les fameuses primes au bug (“bug bounty”). Et cela fonctionne.

En février dernier, Lufthansa a annoncé un nouveau programme de lutte contre les failles de sécurité informatique suite au lancement réussi du programme précédent, qui concernait leur site www.worldshop.eu.

Intel et Microsoft ont tous deux annoncé le lancement de nouveaux programmes de bug bounty il y a quelques mois. Le programme d’Intel est accessible sur invitation uniquement via la plateforme HackerOne.

Le programme de Microsoft n’a duré que trois mois (jusqu’en juin 2017) et permettait aux utilisateurs d’accéder en avant-première aux nouveautés et aux fonctionnalités de sécurité de la suite Microsoft Office afin de rechercher les vulnérabilités.

Selon une analyse menée par HPI, 5 577 rapports de vulnérabilité ont été enregistrés au cours des douze derniers mois. Même les développeurs les plus chevronnés ne peuvent pas anticiper toutes les failles et tous les angles d’attaque possibles, et c’est précisément la raison pour laquelle ces programmes de primes sont particulièrement utiles.

Les hackers rendent publiques les faiblesses des logiciels. En publiant leurs découvertes, les autres membres de la communauté peuvent s’appuyer sur leur travail. Ils nous permettent également de prendre des décisions éclairées en matière de protection informatique.

Certains éditeurs de logiciels s’offrent les services de chercheurs en sécurité informatique afin que leurs failles de sécurité soient révélées de manière responsable.

On a assisté au cours des dernières années à un développement assez marqué de cette tendance, et les entreprises n’ont pas hésité à étendre leurs programmes existants et à en créer de nouveaux.

Bugcrowd déclare que les programmes de bug bounty ont augmenté de 210% par an en moyenne depuis 2013. Les entreprises de plus de 5 000 employés sont celles qui ont connu le plus fort taux d’adoption de ce type de programme au cours des douze derniers mois.

Nombreuses sont les grandes entreprises qui effectuent régulièrement des tests et des audits pour évaluer leurs systèmes de sécurité, mais les programmes de lutte contre les failles de sécurité informatique peuvent offrir un niveau de sécurité supplémentaire en incitant un nombre croissant de personnes à tester leurs systèmes en continu. Et puisque les entreprises paient uniquement lorsque des résultats sont obtenus, ces programmes sont l’occasion pour elles de dépenser intelligemment leur budget alloué à la sécurité.

Enfin, ces programmes sont importants, car ils présentent des avantages pour les utilisateurs. Lorsque des bugs sont identifiés et résolus rapidement, les utilisateurs finaux sont les premiers bénéficiaires, leur sécurité s’en trouvant améliorée. Ils sont également gagnants lorsque ces programmes permettent de mettre en place des obstacles pour les cybercriminels.

Certaines parties de l’infrastructure IT sont parfois ignorées, car la recherche de failles nécessite trop de temps et de ressources pour que cela en vaille vraiment la peine.

Nous considérons chaque bug identifié, chaque menace découverte, chaque vecteur d’attaque comme un enseignement à tirer et une incitation à pousser les recherches plus loin. Nous recentrons nos priorités sur la base des rapports reçus dans le cadre de ces programmes.

Par exemple, un chercheur en sécurité informatique a découvert une faille dans le code de traitement vidéo utilisé par la plupart des services Internet. L’équipe en charge de la sécurité avait anticipé ce problème et avait sécurisé notre code. L’impact de cette vulnérabilité sur nos systèmes a donc été minime.

Nous avons tout de même estimé que cette découverte avait de la valeur, car nous avons pu en tirer un enseignement. Nous avons donc récompensé le hacker à hauteur de 2 700 dollars pour ce rapport.

Pour faire simple, ces programmes de bug bounty rendent les vulnérabilités plus difficiles à exploiter pour les cybercriminels.

Corriger les vulnérabilités découvertes dans le cadre de ces programmes augmente la difficulté et les coûts liés à la recherche de vulnérabilités zero-day pour les hackers, car le nombre de failles dormantes a été réduit.

En outre, l’expérience acquise grâce à ces programmes peut donner lieu à des améliorations considérables en termes de correctifs et permettre d’identifier d’autres vulnérabilités ou sources de bugs.

Enfin, ces programmes permettent également de mettre en lumière le travail des chercheurs en sécurité informatique. En définitive, ce sont des outils efficaces pour améliorer la sécurité des produits informatiques et la protection des utilisateurs.

Certains éditeurs de logiciels ne croient pas en ces programmes et avancent que ces derniers n’offrent pas le meilleur retour sur investissement par vulnérabilité. Mais dans un environnement où les cybermenaces sont de plus en plus complexes et organisées par des réseaux internationaux de hackers mal-intentionnés, il est dommage de négliger les effets positifs d’un programme bien pensé.

Au final, chercher à lutter aveuglément contre tous les hackers n’est pas une solution réaliste, quelle que soit l’entreprise. Les programmes de lutte contre les failles de sécurité informatique, s’ils sont bien conçus, permettent aux éditeurs de logiciels de bénéficier de l’effet de réseau pour mieux protéger les utilisateurs.

Bien qu’aucune stratégie ne soit efficace à 100 % pour repousser les assauts, ces programmes doivent faire partie de l’arsenal des entreprises en matière de cybersécurité.

Ils doivent également être considérés comme un élément essentiel à prendre en compte lorsqu’il s’agit d’ajouter de nouveaux logiciels à l’environnement informatique existant et de déterminer si ils présentent plus de risques que d’avantages.

 


Auteur
En savoir plus 
Architecte Solutions
Dropbox
Thibaut Champey est Architecte Solutions chez Dropbox, et spécialisé dans les problématiques de sécurité pour le marché européen. Il a plus de 15 ans d'expérience dans la mise en oeuvre des outils de collaboration au sein des grandes entreprises françaises. Il a notamment travaillé chez Accenture et Google.
En savoir plus 

Livres blancs A la Une