Des hackers éthiques unis pour la bonne cause

Hackers et développeurs ont travaillé de concert sur la recherche et la résolution de bugs de sites médicaux lors d’une chasse « live ».

Le Forum International de la Cybersécurité (FIC) a accueilli ce 8 et 9 septembre un « Live Bug Bounty ». Une chasse aux bugs publique pour hackers éthiques.

Marine Magnant, directrice de la communication chez YesWeHack.

C’est la plateforme YesWeHack qui accueillait l’événement. « Nous mettons en relation des hackers éthiques avec des entreprises pour que les hackers tentent de trouver des failles dans le système informatique de ces entreprises », explique Marine Magnant, directrice de la communication chez YesWeHack. « Pour chaque faille trouvée, ils récupèrent une “prime”, d’où le nom “Bug Bounty”. »

Le Live Bug Bounty était organisé par YesWeHack.

Durant ce « Live Bug Bounty » de 2 jours, les hackers avaient pour mission de trouver et d’exploiter des failles présentes sur le site de rendez-vous médical doctolib.fr et sur les outils en ligne de la Croix-Rouge, avec des primes allant de 50€ à 10.000€, selon la gravité et le potentiel de la faille. Pour chaque faille trouvée, les hackers gagnaient également des points, les faisant grimper sur le tableau des scores.

L’humain au cœur du cyberespace

Si YesWeHack a choisi deux sites médicaux, ce n’est pas sans raison. Des données critiques transitent par Doctolib et la Croix-Rouge et toute intrusion pourrait se révéler désastreuse pour les deux entités. « Doctolib est devenue presque indispensable pour prendre des rendez-vous médicaux. Je pense qu’aujourd’hui il doit y avoir 70 % des Français qui utilisent Doctolib, surtout depuis le coronavirus. C’était donc l’occasion d’améliorer leur sécurité. », ajoute Marine Magnant.

Un début tout en douceur …

Zax (à gauche) et Doomer (à droite) sont arrivé en tête du classement.

La première journée a été plutôt calme, avec quelques bugs trouvés, mais surtout du repérage. « Au départ, on tâte un peu le terrain. On essaie de s’approprier la technologie et de voir ce que l’on peut faire avec », indiquent Zax et Doomer, un duo de hackers arrivés premiers sur le tableau des scores de l’événement. « On découvre la vulnérabilité pendant une heure, puis on essaie de la “Weaponize”, de faire en sorte que la vulnérabilité soit exploitable avec un impact réel et pas juste un “proof of concept”. »

… Avant de tout « casser »

C’est durant la deuxième journée que le rythme des failles trouvées s’est accéléré. « On ne peut évidemment pas communiquer sur les détails de ce que l’on a trouvé, mais nous sommes parvenus à trouver pas mal de choses sur Doctolib. Ils ont même dû arrêter des serveurs à cause de nous ! » indique Zax en riant.

Les participants ont du redoubler d’ingéniosité pour trouver de nouvelles failles.

Plutôt que de se préparer en amont, ils ont préféré se jeter directement dans l’inconnu : « On a toujours préféré découvrir notre terrain de jeu le matin en arrivant. Il y a le côté instantané et l’adrénaline de trouver quelque chose directement. Le fait de découvrir le terrain de jeu sur le moment, ça met tout de suite un peu la pression, c’est très stimulant ! » Si cette méthode a porté ses fruits durant cette chasse, ce n’est cependant pas toujours le cas : « Aujourd’hui, on a eu la chance, c’était assez court, mais parfois … ça peut prendre 6 mois ! »

Une collaboration entre hackers et développeurs

L’événement a permis à tous les participants de collaborer entre eux.

Là où le Live Bug Bounty se distingue d’une chasse « traditionnelle », c’est par son côté présentiel. Si les hackers s’entraident déjà régulièrement en ligne, la proximité apportée par ce type d’événement permet à chacun de partager ses connaissances et de collaborer encore plus facilement. « Là où l’un va sécher, l’autre va lui suggérer quelque chose pour avancer », ajoute Zax.

Les vulnérabilités doivent être validées avant de pouvoir toucher une prime.

Autre point majeur, la présence des développeurs sur place rend l’expérience encore plus intéressante pour les hackers : « Le fait d’avoir les développeurs juste à côté, à disposition, c’est vraiment un plus », indique Doomer. « C’est très intéressant pour eux de nous voir retourner leur code dans tous les sens. Quand on arrive à accéder à des informations censées être inaccessibles, ils ouvrent de grands yeux et viennent immédiatement voir ce qu’on a trouvé. Mais pour nous aussi c’est super intéressant. Si on trouve une donnée, qu’on suppose importante, mais dont on ignore l’utilité, ils peuvent nous indiquer son but directement. Ça nous permet d’avancer ensemble plus rapidement que si nous étions seuls dans notre chambre. C’est un vrai travail de collaboration. »

Une chasse fructueuse

22 failles ont été trouvées durant ces 2 jours de chasse.

Après 2 journées (et une nuit blanche) de recherche intensive, les hackers présents sur l’événement sont parvenus à valider un total de 22 bugs. L’équipe de Zax et Doomer s’est ainsi placée en première position, avec 70 points, avec plus de 20 points d’avance sur le reste du podium. Un grand succès pour cette chasse aux vulnérabilités.

Cet événement signait également les retrouvailles des hackers après une séparation de plusieurs mois. « C’était vraiment deux journées incroyables. Ça nous a fait du bien de revoir en vrai nos amis et de travailler tous ensemble. Nous avons hâte de remettre ça ! »