Pour gérer vos consentements :

La start-up Tilkee bluffée par les résultats d’un Bug Bounty

Le phénomène est apparu aux Etats-Unis avec des plateformes comme HackerOne, avant que l’Europe et la France en particulier se réveille avec des initiatives comme Bounty Factory, Wavestone ou Yogosha. Chacune à ses spécificités, mais en règle générale, ce type de programme intéresse les grandes entreprises.

Erreur ! Les bug bounty s’adressent aussi aux start-ups. Tilkee est une jeune pousse qui propose un service de suivi des documents commerciaux pour optimiser les opérations de prospection. L’année dernière, Tilkee est entré en contact avec Yogosha ayant l’accélérateur Axeleo en commun. « Nous sommes très exigeants en matière de sécurité, car nous traitons des données sensibles. Nous avons l’habitude de réaliser des pentests, mais nous voulions aller plus loin », explique Tim Saumet, co-fondateur et CTO de Tilkee.

Bluffé par la compréhension rapide du fonctionnel

D’où l’idée de lancer un Bug Bounty. « Avec les équipes de Yogosha, nous avons réalisé les spécifications, le périmètre, la copie de la production, les vulnérabilités autorisées. Le programme a été lancée en janvier 2017 », souligne le dirigeant. Il ajoute, « nous étions plutôt confiant dans la sécurité de notre service en pensant que ce programme n’apporterait que 2 ou 3 rapports de vulnérabilités ». La confiance du dirigeant a été ébranlée rapidement, « en 2 jours, nous avons reçu une avalanche de rapports. Au bout de 3 mois, une vingtaine de chercheurs a délivré une soixantaine de rapports dont 30 étaient très intéressants et 10 constituaient des failles importantes que nous avons corrigées ».

Tim Saumet avoue avoir été « bluffé par la capacité à comprendre le fonctionnel de notre solution. Après avoir créé un compte en quelques minutes, certains chercheurs ont réussi des prouesses. Le plus beau restant sans doute la suppression d’un fichier ». Les meilleurs chercheurs ont été récompensés en fonction de la criticité des failles. Les primes s’étalent de 1000 à 500 euros.

Et pour la suite, le responsable envisage de renouer l’expérience du Bug Bounty, « nous sommes en phase de développement d’une nouvelle solution plutôt orientée marketing. Elle s’appuie sur le cœur unique de Tilkee où tourne le programme de recherches de bug, donc le périmètre va s’élargir ». Il envisage une ouverture plus grande de ce programme pour trouver des faiblesses. Enfin, Tim Saument résume en conclusion son intérêt pour le Bug Bounty, « nous révéler ce qui est invisible ».

A lire aussi :

Une marketplace du Dark Web lance un bug bounty

Le Bug Bounty de l’US Army trouve une faiblesse du réseau interne

crédit photo  © andriano.cz – shutterstock

Recent Posts

Jean-Noël Barrot, nouveau ministre délégué chargé du numérique

Jean-Noël Barrot est nommé ministre délégué chargé de la Transition numérique et des Télécommunications du…

9 heures ago

Microsoft peine à convertir à sa « nouvelle expérience commerciale »

Microsoft concède de nouveaux reports dans la mise en place de la « nouvelle expérience…

9 heures ago

PC, tablettes et smartphones : la dégringolade qui s’annonce

Tensions géopolitiques, inflation et difficultés d'approvisionnement impactent à la baisse le marché des terminaux. En…

10 heures ago

Le W3C dit non à Google et Mozilla sur l’identité décentralisée

La spécification DID (Decentralized Identifiers) passera au stade de recommandation W3C début août, en dépit…

11 heures ago

Silicon Data Awards 2022 – A vos candidatures !

La 1ère édition des Silicon Data Awards est lancée ! Rejoignez le concours avant le…

11 heures ago

Open Source : entre la SFC et GitHub, le torchon brûle

L'entrée en phase commerciale de Copilot ne passe pas. La Software Freedom Conservancy (SFC) a…

15 heures ago