Sur YesWeHack, on a lancé un blog, mais en attendant qu'il soit aussi lu que le mien, je vais quand même continuer de m'exprimer sur ce sujet qui m'est cher : le Bug Bounty.

Il ne vous aura pas échappé dans l'actualité récente, que l'Europe a validé un budget de 1,9 million d'euros la semaine dernière pour étendre le programme d’audit des logiciels Libres et Open Source alias EU-FOSSA. C'est cool, surtout que dans ce budget est prévue une part pour le Bug Bounty. Et ça on le doit à Marietje Schaake du groupe Alliance des démocrates et des libéraux pour l’Europe.

C'est plutôt une bonne nouvelle, car cela va soutenir le développement et aider à renforcer la sécurité des logiciels libres utilisés dans les administrations publiques.

Même si ça peut sembler étrange de dire ça, il faut voir maintenant si les plateformes européennes de Bug Bounty dont Bounty Factory seront sollicitées pour mettre la main à la pâte ou si ces budgets iront tout de go vers les plateformes américaines. Oui ça peut sembler contreproductif, mais il y a un risque évident tant les lobbys sont forts.

Moi je n'ai pas de lobbyistes au Parlement Européen donc à par compter sur vous pour faire remonter l'info le plus haut possible afin que Marietje Schaake et les gens qui travaillent sur ce dossier établissent un contact et échangent avec nous, je n'ai pas de véritable option. Ou sinon, oui je pourrais camper devant le parlement Européen et tenter de leur expliquer tout ce qui fait le charme de Bounty Factory.

Toutefois, contrairement aux autres grosses plateformes, BountyFactory.io dispose de fonctionnalités et de spécificités légales qui lui assurent une robustesse, une pertinence et une légitimité au sein du cadre Européen. Tout sur Bounty Factory est conçu et développé pour assurer à la pratique du Bug Bounty, sécurité et respect de la légalité.

C'est en effet indispensable car nous proposons du vrai Bug Bounty au sens traditionnel du terme, sur une plateforme ouverte à tous mondialement et non pas de la prestation d'audit déguisé en Bug Bounty, comme certains ont pu le penser lorsque nous avons annoncé le projet. Notre point fort, c'est notre communauté de plus de 1800 hunters qui apportent chacun leur expérience et leurs méthodes diverses et variées sur la recherche de faille.

Vous allez voir, on n'est pas des rigolos et on n'a pas fait les choses à moitié ;-) 

Tout d'abord, nos serveurs sont basés en Europe et aucune data n'est exposée à des puissances étrangères comme les US, que ce soit avec FISA, le Patriot Act, le Freedom Act... etc.

Bounty Factory travaille avec l'hébergeur OVH qui est soumis à un niveau de sécurité SOC 1 type II et SOC 2 type II.

Pour ceux qui penseraient que je parle un dialecte ancien, il s'agit tout simplement d’attestations internationales qui garantissent qu'OVH a bien mis en place des procédures et contrôles permettant d’assurer un service sécurisé et haute disponibilité.

Notre infrastructure est aussi certifiée ISO 27001, ce qui signifie qu'elle respecte la mise en place d’une organisation de la sécurité conforme aux standards.

Au-delà de ça, chaque vulnérabilité remontée, chaque rapport, chaque commentaire présent sur Bounty Factory est chiffré avant d'être stocké dans notre base de données et seuls les acteurs concernés (sociétés ou hunters) peuvent y avoir accès. Même nous en interne, nous ne pouvons y accéder sans autorisation.

Concernant la vie privée, nous sommes d'ores et déjà sujet à la Réforme Européenne de 2012 sur la Protection des Données, à laquelle tous les pays Européens devront se conformer avant le 6 mai 2018.

Sur le sujet des transactions financières, notre infrastructure respecte la norme PCI DSS (The Payment Card Industry Data Security Standard). Cela signifie que niveau paiement, on est au top aussi. Sans oublier que MangoPay (Crédit Mutuel Arkéa), notre système de paiement est 100% respectueux du cadre légal Européen. Cela signifie que les hunters inscrits sur notre plateforme respectent les lois concernant le blanchiment d'argent et le financement du terrorisme. C'est le genre de détail hyper important quand on est sur un secteur ouvert au monde comme le notre.

Mis à part ces aspects légaux, Bounty Factory dispose aussi de fonctionnalité plutôt cool telle que la signature électronique des Conditions Générales d'Utilisation de la plateforme, grâce à la société YouSign basée en France et sujette elle aussi aux lois françaises et Européennes.

Dans un objectif de souplesse et d'autonomie, les clients sont libres de créditer ou de récupérer l'argent qu'ils déposent sur leur compte pour récompenser les hunters.

Par défaut, tout programme de Bug Bounty créé sur la plateforme est privé, ce qui implique que la société cliente peut inviter les hunters qu'elle souhaite (au max 50 hunters) ou faire appel à la Team Privée YesWeHack composée de 10 hunters surentraînés.

Et une fois les hunters sélectionnés, ils peuvent alors se lancer dans la recherche de vulnérabilités en s'appuyant et respectant le périmètre défini par la société. Dans son compte, la société peut alors voir le nombre de bugs remontés, et chacun de ces bugs est catégorisé selon la nomenclature de l'OWASP.

Il est ensuite possible pour la société d'engager un dialogue avec le hunter pour obtenir des précisions techniques et quand tout est validé, le hunter peut-être rémunéré et gagner des points qui le feront monter dans le classement. Ce principe de gamification permet de donner des points bonus aux hunters qui prennent le temps de faire bien les choses en rédigeant des rapports de qualités ou en codant des petits proof of concept.

Et dès que la société est assez mûre pour ouvrir son périmètre, elle peut le passer en public d'un simple clic. Evidemment, nous validons ensuite ce passage pour éviter toute fausse manip.

Enfin, pour les sociétés qui n'ont pas le temps ou les ressources pour gérer ce genre de programme, nous avons aussi mis au point le "Program Manager", qui pour faire simple permet de sous-traiter à nos équipes, la gestion et l'animation du programme de Bug Bounty.

Je suis très fier de ce qu'on a accompli avec l'équipe cette année. La plateforme fonctionne très bien, nous avons déjà pas mal de fonctionnalités et d'autres vont arriver prochainement. Et surtout nous avons construit une base solide en termes de sécurité et de respect de la législation Européenne qui va permettre aux sociétés de compléter efficacement leur arsenal de défense, et à tous de pratiquer le Bug Bounty en respectant les Arrangements de Wassenaar sur les exportations de technologies à doubles usages. Sur ce point précis, je pense que je referai un article plus tard.

Concernant nos clients, pour le moment, je ne peux que vous citer que OVH et Qwant qui nous ont fait confiance dès le début (merci !). Les autres sont au nombre de 14 et sont pour le moment en programme privé, donc je ne peux vous communiquer leur nom, mais sachez que c'est du très lourd aussi ;-)

Je sais que certaines sociétés s'interrogent sur l'utilité de lancer leur programme de Bug Bounty ou se demandent si c'est vraiment sans risque. C'est normal car c'est une discipline encore un peu jeune de ce côté-ci de l'Atlantique, mais si vous êtes curieux, je vous invite à vous rapprocher de moi ou des équipes de Yes We Hack pour poser toutes vos questions. On sera ravi de lever le moindre de vos doutes.

Pour conclure, je suis content de vous annoncer que YesWeHack vient d'être récompensé comme Coup de Coeur du Jury dans le cadre du Prix de la PME innovante organisée par le FIC 2017. Il y avait du beau monde dans ce jury...

Composition du jury du Prix de la PME innovante 2017 :

  • François Lavaste, Président CyberSecurity, Airbus Defence and Space
  • Alain Bouillé, RSSI, Caisse des Dépôts et Président du CESIN (Club des experts de la sécurité de l’information et du numérique)
  • Gilles Daguet, General Partner, ACE Management
  • Thierry Delville, Inspecteur général de la Police nationale, Délégation ministérielle aux industries de sécurité
  • Laurent Dumas Crouzillac, Associé, CapHorn Invest
  • Thomas Fillaud, Chef de bureau, Politique industrielle et Assistance (PSS), ANSSI
  • Philippe Gaillard, Associé, CyberD Capital
  • Joseph Graceffa, R&D-SSI, CLUSIR Nord de France
  • Jacques Hébrard, Commandant, Région gendarmerie Hauts de France
  • Geoffroy Hermann, Chef du bureau Réseaux & Sécurité, DGE
  • Jacques-Benoît Le Bris, DSI, Solvay
  • Olivier Ligneul, RSSI, Groupe EDF
  • Thierry Olivier, RSSI, Société Générale
  • Frédéric Valette, Responsable du pôle SSI, Direction générale de l’armement, Ministère de la Défense
  • Yves Veret, Senior Advisor Sécurité Numérique & Technologie de l’information CALAO Finance

...et c'est un grand honneur ainsi qu'une reconnaissance forte de notre travail et ça confirme que nos services répondent aux problématiques d’aujourd’hui : Le recrutement avec YesWeHack Jobs et le besoin de sécurité agile avec Bounty Factory.

Enfin, pour ceux qui voudront me rencontrer, je serai au NetSecureDay à Rouen le 15 Décembre 2016, au CES à Las Vegas du 4 au 9 Janvier 2017 et au FIC les 24 et 25 Janvier 2017.