Suivant les recommandations de l’Anssi (Agence Nationale de la Sécurité des Systèmes d’Information), l’équipe projet StopCovid lance ce mercredi 27 mai un programme de Bug Bounty pour garantir la fiabilité de l'application, grâce à la mobilisation d'une communauté d'experts indépendants en cybersécurité.
En tant qu'autorité nationale référente en matière de sécurité du numérique, l’Anssi a conseillé à Inria, un audit de type Bug Bounty pour l’application StopCovid, actuellement développée sous forme d'un prototype en amont de toute décision politique, en parallèle des audits et contrôles de sécurité réalisés par l’agence et ses partenaires, tout au long de la conception.
15000 hackers pour un Bug Bounty
La plate-forme de YesWeHack a été choisie pour réaliser cette opération. La start-up française va soumettre StopCovid aux tests de sa communauté de plus de 15000 hackers éthiques lors d’un Bug Bounty. La France est le premier pays à faire appel à une plateforme de Bug Bounty pour sécuriser son application de contact tracing.
Les participants soumettront l’application à des tests approfondis en utilisant les mêmes techniques que les hackers malveillants, pour identifier des bugs et vulnérabilités. En cas de découverte, ces derniers seront signalés et détaillés auprès des équipes de développeurs du projet StopCovid.
Le développement de l’application StopCovid étant mené à titre gracieux par l’ensemble des intervenants, YesWeHack prendra à sa charge le montant des primes attribuées, d’un montant de 2000 € maximum.
Ce Bug Bounty se déroulera en deux phases : à partir du 27 mai, l’application sera soumise à une première phase de Bug Bounty, dite privée : une vingtaine de hackers éthiques répartis dans toute l’Europe testeront la sécurité de l’application.
Lors du lancement de StopCovid, l’application passera dans une phase de Bug Bounty public, durant laquelle les 15 000 hackers de la communauté YesWeHack pourront tester la sécurité de l’application, en continu tout au long de son cycle de vie. Les retours de ces contributeurs seront publiés sur le site YesWeHack et déversés sur le GitLab Inria StopCovid, où le code source sera accessible à tous ceux qui souhaitent le consulter.