Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

OMG ! 100% des grandes entreprises françaises ont des failles de sécurité

Ce matin, sur Twitter, on m’a envoyé cet article des Échos en me demandant ce que j’en pensais. Pour ceux qui auraient la flemme de le lire, ça parle d’une étude menée par le cabinet de conseil Wavestone sur le niveau de sécurité des grandes entreprises françaises.

En gros, ils ont repris tous les audits de sécurité web de 82 grosses boites françaises, réalisés entre juin 2015 et juin 2016 et le résultat est sans surprise : 100% des sites web testés ont des failles de sécurité et parmi eux, 60% ont une faille suffisamment importante pour qu’il soit possible de récupérer des données confidentielles avec celles-ci.

alerte

Alors évidemment, la première chose que je me suis dit c’est : « C’est normal ». Rien n’est étanche à 100%. Si on y passe suffisamment de temps, on finira toujours par trouver une faille de sécurité sur un site. Donc évidemment, à mon sens, 100% de tous les sites web du monde ont des failles connues ou inconnues.

Je pense qu’il s’agit d’une tentative d’électrochoc pour réveiller un peu les boites, et qu’elle est parfaitement dans le timing des Assises de la Sécurité à Monaco (que je couvre en ce moment).

Maintenant il faut bien comprendre de quoi on parle. Car pour se sécuriser, les sociétés ont plusieurs outils à leur disposition. Le premier ce sont les « solutions de sécurité » que leur vendent les sociétés spécialisées pour protéger leurs systèmes informatiques. C’est très bien, ça fonctionne bien et ça permet de se sécuriser à minima. Ensuite, ce que font la plupart de ces grosses boites, c’est de monter une équipe de sécu interne à l’entreprise. Des gens chargés de vérifier que les certificats SSL sont OK, que les serveurs respectent bien les bonnes pratiques en matière de sécurité, que les mots de passe sont costauds, que les solutions dont j’ai parlé plus haut sont bien mises en place et bien sûr, ils réalisent une surveillance constante de ce qui se passe sur leurs serveurs.

Certaines boites, même si elles sont encore peu nombreuses, ont même mis en place un moment de pentest, où ces employés sécu vont prendre le temps de chercher des failles sur les sites web de l’entreprise.

Enfin, il y a les audits. Les fameux audits réalisés par des boites spécialisées, qui permettent d’avoir un bon état des lieux de la sécurité à un instant T.

Et il arrive aussi que les remontées de ces audits ne soient pas toujours suivies de correctifs. Et c’est bien dommage de ne pas prendre le temps de le faire. Mais après vous connaissez la chanson… Les développeurs ont toujours mieux à faire que de corriger leur code et tant que personne ne trouve cette faille, faire l’autruche semble être la solution la plus simple à mettre en place.

Tout cet arsenal défensif représente déjà beaucoup et je pense qu’il y a parmi toutes ces grosses sociétés françaises, des lacunes en termes d’outils défensifs, de bonnes pratiques sans parler de l’absence d’une équipe dédiée spécifiquement à la sécurité.

Mais même avec tout ça, je pense que les sociétés sont trop attentistes et pas assez pro-actives. C’est-à-dire qu’elles attendent que les failles soient remontées, voire exploitées, avant de réagir. On le voit bien ici, même un audit ne suffit pas à faire qu’elles soient corrigées.

Les audits sont réalisés durant une période limitée, par un nombre limité de personnes et donnent un bon aperçu des lacunes d’une société à un instant T. Mais au cours de la vie normale d’un site web, il y a sans cesse de nouvelles évolutions, de nouvelles fonctionnalités et mécaniquement de nouveaux bugs de sécurité qui y sont introduits.

Et ces bugs, il faudra attendre qu’ils soient découverts, lors du prochain audit, ou si la société a de la chance, par un internaute curieux de passage qui aura eu la gentillesse de le remonter et pas de l’exploiter ou le revendre au marché noir.

Heureusement, et là, je vais prêcher pour ma paroisse, il existe un moyen simple de venir combler ces périodes aveugles entre les audits avec le Bug Bounty. Pour ceux qui auraient loupé l’épisode, le Bug Bounty, ça permet à une boite de proposer un périmètre de test (privé ou public), sur lequel vont se pencher des centaines d’experts en sécurité, pendant une durée illimitée. Et si une faille est découverte, l’entreprise offre une récompense à l’expert en sécurité.

En gros, ça donne, à l’entreprise, un accès à différentes expertises et façons de faire pour prendre le taureau par les cornes et être informée directement des failles de sécurité. Le Bug Bounty, c’est donc un moyen d’arrêter de faire l’autruche en priant pour que rien n’arrive.

Évidemment, cela demande aussi un peu de travail en amont. Déjà il faut un minimum de sécurité en place sinon, les récompenses vont être distribuées trop rapidement. Ensuite, ça oblige l’entreprise à corriger ces bugs rapidement et à ne pas laisser couler comme le montre l’article des Échos. De plus, niveau coût c’est maitrisé, car c’est l’entreprise qui décide du montant des récompenses et elle peut suspendre son programme à tout moment. Donc potentiellement, n’importe quelle boite en phase de démarrage peut intégrer la sécurité dès son lancement.

Si c’est bien réfléchi en amont, il n’y a pas de freins qui empêcheraient une société de faire appel au Bug Bounty, à part une crainte purement psychologique. Par exemple chez Bounty Factory, on a levé tous ces freins.

  • 1/ On aide la boite à rédiger le périmètre le plus efficace possible
  • 2/ On a mis en place un outil simple et plaisant à utiliser
  • 3/ On permet aux entreprises qui ne veulent pas communiquer sur leur Bug Bounty, de réaliser des Bounty privées
  • 4/ On a même une équipe privée de chercheurs en sécurité avec qui on travaille depuis des années, pour les entreprises qui ont encore ce besoin de savoir « qui » va tester leur site.
  • 5/ On a mis en place un Program Manager, qui permet aux boites qui n’ont pas de ressources internes pour gérer leur Bug Bounty, de nous le confier. Nous on prend tout en charge, de la qualification des bugs, aux échanges avec les experts en sécu, et à l’attribution des récompenses. Ensuite, il ne reste plus aux boites qu’à corriger les problèmes remontés.
  • 6/ On chiffre tout et seule l’entreprise a accès aux bugs qui lui sont remontés. Même nous en interne, nous ne pouvons pas consulter le détail de ces failles de sécurité.
  • 7/ On n’a pas non plus fait les choses en mode rock n roll puisque nous avons tout cadré juridiquement avec des contrats à signer électroniquement, pour les entreprises et pour les chercheurs en sécurité. Contrats validés et revalidés par les services juridiques des grosses boites que nous avons déjà comme client. Donc on est sereins
  • 8/ On est aussi parfaitement capable de répondre aux exigences d’OIV (Opérateurs d’importance vitale) ou d’entreprises sensibles puisque toute notre infrastructure, qu’elle soit technique et juridique est basée en France et en Europe et répond à des critères de sécurité type certification ISO 27001 et attestations internationales SOC 1 TYPE II et SOC 2 TYPE II.
  • 9/ Concernant les paiements, c’est pareil. On répond aux exigences européennes sur le blanchiment d’argent et le terrorisme, donc on sait que les récompenses des Bugs Bounty n’iront pas financer des organisations criminelles.
  • 10/ Enfin, et c’est le plus important, on est super sympas et accessibles très facilement, il suffit de nous envoyer un petit mail via le site BountyFactory.io.

Bref, autant dire que rien n’empêche aujourd’hui les entreprises qui le désirent, de se lancer dans l’aventure du Bug Bounty, qui est un outil supplémentaire pour prendre les devants en matière de sécurité et ainsi contribuer à éviter les catastrophes et ce genre d’articles négatifs dans la presse.

Alors pourquoi garder la tête dans le sable ?


Réponses notables

  1. C’est moi ou le billet démarre comme un avis sur un article et se termine en publicité?

  2. Le mouvement open source a mené au plus grand transfert de compétence de la mondialisation sous-couvert d’un utopique partage de connaissance. Le nombre de dev payé trois sous qui font maintenant faire leur boulot par des dev indiens, chinois, pakistanais, pour 5 euros de l’heure, lorsque ce n’est pas la boîte pour laquelle ils travaillent qui le fait directement. Aucune traçabilité du code n’existe, ni du profil des dev commissionnés, qui travaillent parfois directement pour les gouvernement locaux. Des admins donnent régulièrement accès à leur serveur avant de partir en week-end ou en vacances. Mais ce sont des sujets tabous dont ils ne faut parler, alors chuuuuuuut…

  3. ola la pub juste après une accroche comme ca … c’est gros quand même … :grinning:

  4. en même temps c’est sa passion,son aventure et il est sur son site !!
    en plus,oui,c’est annoncé …
    offusquer les offusqués

  5. Si tu fais pas la différence entre une information et de la communication, tu gobes tout et n’importe quoi.

  6. Oh que oui …

    normalement tu devrais cacher le plus de choses pour éviter d’attirer l’attention…

    Si ton site dit “coucou je suis sur APACHE” ton hacker va chercher les failles dans ce sens -> alors que l’important c’est ce que tu veux afficher pas sur quel support
    SI ton PHP-MYSQL dit “je suis à tel version” -> directe il va voir si c’est à jour ou pas et du coup les failles-> alors que cette information n’est pas utile pour tout le monde
    etc, etc …
    c’est comme le gars qui fourni dans un appel d’offre Public un schéma de son réseau avec toutes les IP d’admin dessus …

  7. Pour avoir étudié un moment à l’université,

    Les enseignements dépendent surtout des profs qui les font.
    Nous on a eu des profs (maitre de conf simple), des enseignants chercheurs et des doctorants.

    Les maitres de conf sont bon en général et font des cours relativement bien ficelé.
    Les enseignants chercheurs appliquent bêtement le même cour année après année et, en se renseignant un peu, on peut assez facilement trouver des problèmes et des éléments qui ne sont pas forcément à jour (après, ça dépend du cour et de leur domaine de recherche).
    Les doctorants n’en ont strictement rien à péter, souvent, ils sont moins bon (notamment dans les langages de programmation) qu’une partie de leurs élèves et font des exemples bourré de failles de sécurité et/ou de bugs.

    Pour les cours de sécurité, on a eu des profs qui disait que tant qu’il n’y a pas de sans fil, la communication est sur à 100% (alors qu’écouter un câble c’est très facile) alors qu’en sécurité, ce que l’on apprend dès que l’on pratique un peu, c’est qu’il y a toujours un moyen de faire. Le but de la défense étant de faire en sorte que passer coute plus cher que ce que cela pourrait rapporter (coefficient à définir selon la politique de sécurité).

    Et justement pour en revenir à l’article, c’est très grossier comme étude car dès que l’on fouille un peu et ce quel que soit le site, on trouvera toujours une faille.

  8. Je vois pas ça comme de la pub. Je parle de ce que je connais et de ce que je sais faire, au travers de Bounty Factory qui est mon projet. C’est surtout pour expliquer comment on a géré les choses et ce qu’on a mis en place justement pour réduire ces fameuses vulnérabilités présentes sur tous les sites.

Continuer la discussion sur Korben Communauté

14 commentaires supplémentaires dans les réponses

Participants