Orange a lancé son premier bug bounty lors de la 14ième édition de la “Nuit Du Hack” qui s’est déroulée du 2 et 3 juillet à Marne-La-Vallée. J’ai pu interviewer Olivier Moretti, responsable du département sécurité de la Digital Factory d’Orange France qui nous raconte comment cela a-t-il été mis en place et dans quelles conditions.
[JF Audenard] - Tout d'abord, tu peux nous rappeler ce qu'est un bug bounty ?
[Olivier Moretti] - Un programme de bug bounty consiste à récompenser les personnes ayant identifié des failles de sécurité sur des services et qui vous les remontent afin qu'elles puissent être corrigées avant qu'elles ne soient exploitées par des cybercriminels. Depuis quelques années, tous les grands acteurs du monde de l'Internet utilisent les programmes de bug bounty pour durcir le niveau de sécurité de leurs systèmes en s'appuyant sur la communauté des chercheurs et experts en sécurité.
Pourquoi lancer un programme de bug bounty est-il intéressant pour un opérateur comme Orange et comment cette idée est-elle venue ?
Un programme de bug bounty permet de mobiliser un très grand nombre des personnes compétentes en sécurité informatique et très motivées. C'est une chose juste impossible à faire en travaillant de façon habituelle avec des sociétés spécialisées dans les tests de pénétration même si l’un ne se substitue pas à l’autre. Au-delà des aspects financiers qui sont optimisés (on paye aux résultats et pas au temps passé), lancer un programme de bug bounty pour Orange c'est aussi montrer que nous sommes bien ancrés dans le présent et l'innovation. Parmi les sociétés du CAC 40 nous sommes mêmes précurseurs dans le domaine !
Pourquoi avoir sélectionné la BountyFactory ? Il existe d'autres acteurs ?
S'appuyer sur une société spécialisée dans l'organisation des bug bounties permet de travailler en confiance avec des personnes qui connaissent très bien la communauté des chercheurs en sécurité, qui savent organiser et structurer les bug bounty de sorte que les choses se passent de la meilleure façon possible. Le choix s'est porté sur les personnes de la BountyFactory que nous avons rencontrées lors d'un petit-déjeuner qu'ils organisaient. Ce qui nous a convaincu c’est que BountyFactory était à l’origine de la création de la communauté « Yeswehack », des centaines de white hat qu’ils ont fédéré au fil du temps et autant de hunters pour nos futures campagnes de Bug Bounty. C’est tout nouveau en France, il existe aussi d'autres sociétés proposant des services similaires - si le besoin s'en fait sentir, nous pourrions effectivement faire appel à eux.
Pourquoi profiter de la NDH pour lancer ce bugbounty sur le service d'annuaire Orange ?
Profiter de la NDH pour lancer notre premier bug bounty c'était bénéficier de conditions idéales pour un premier lancement. Tout d'abord, il y a le côté "tout le monde est physiquement sur place" avec la possibilité de discuter directement avec les personnes de la BountyFactory mais surtout avec les personnes ayant identifié des failles. Ensuite, comme le bug bounty était limité aux adresses IP de la NDH, cela nous a permis au niveau de la supervision sécurité de savoir que toute tentative d'attaque potentielle provenant d'autres adresses IP était à regarder de près - car en dehors du bug bounty. Enfin, comme la durée du bug bounty était limitée à la durée de la NDH cela nous a donné la possibilité de limiter dans le temps le programme. Bref, faire cela lors de la NDH c'était les conditions idéales pour une première.
Et d'un point de vue opérationnel, tu peux nous dire en quoi cela consiste ?
Ça ne s’improvise pas ! Nous avons bien préparé en amont la com, levé les points juridiques et passé en revue les points techniques afin d’être prêts. Et puis nous sommes venus en force ! Juriste, développeurs et spécialistes sécurité étaient là pour analyser les remontées en live, récompenser les hunteurs et parer à toute éventualité.
Mais au fait, pourquoi avoir choisi le 118712 et son application iPhone ?
Le choix s'est porté sur le 118712, validé avec les business owner, car l'ensemble du service est maitrisé par la Digital Factory d'Orange France (de la conception, développement, opérations, supervision sécurité) et que des personnes de la Digital Factory étaient évidemment partantes (emballées même) pour participer à la NDH durant le week-end. Après, il est important de rappeler l'importance que les services inclus dans le périmètre d'un bug bounty soient suffisant déjà bien sécurisés : un bug bounty vient en complément d'une stratégie de sécurité et d'audits de sécurité - il ne s'agit pas de lancer en pâture un service qui ne tiendra pas 2 heures face aux assauts répétés des participants !
Il est environ 17h, et quels sont les résultats ? Beaucoup de failles de trouvées ? Des prix ont-ils été remportés ?
Nous verrons bien demain matin ! Pour le moment, quelques vulnérabilités mineures ont été détectées du type défauts de configuration ce qui montre que nous avons quelques boulons pour lesquels le serrage doit être vérifié - rien de grave ! Mais à cette heure les hunter les plus pertinents arrivent pour participer dans la nuit aux challenges et autres talks et ateliers, ce qui nous promet un début de soirée intéressant en termes de signalements !
En discutant avec les personnes de BountyFactory et les participants, l'un de leurs retours est que le périmètre du bug bounty est un peu trop limité : en effet, le service 118712 c'est un service fonctionnement assez simple - certains participants se sont sentis un peu "frustrés" que nous n'ayons pas choisi un périmètre plus étendu. Pour ce qui est de l'application iPhone nous n'avons pas eu jusqu'à présent de remontées significatives - les participants mettent plus leurs efforts sur le service web : c'est effectivement plus simple et plus rapide à tester, car pour l'application iPhone il faut mettre en place un environnement technique légèrement plus complexe avant même de commencer à regarder comment l'attaquer.
Et avec les juristes, comment cela s'est-il passé ? Autoriser des personnes à attaquer ses systèmes c'est pour le moins original !
Nos juristes ont été tout suite été enthousiastes à l’idée de nous accompagner. Ils ont travaillé conjointement avec le cabinet d'avocats conseil de l’organisation et un accord convenant à tous a été conclu - tout en conservant l'esprit du Bug Bounty car il ne s'agissait pas d'en dénaturer l'intérêt en souhaitant trop "borner" les choses d'un point de vue juridique mais en restant dans le cadre de la loi et de la réglementation en vigueur - notamment dans le domaine des données à caractère personnel. Au-delà des personnes de la direction juridique, ont été impliquées les équipes en charge de la communication, du marketing et évidemment celles des plateformes du 118712 et de sa sécurité. Cela a été une belle expérience de "team-working".
C'est quoi l'étape suivante ?
Au-delà de ce premier galop d'essai, nous devrions continuer à travailler avec la plateforme BountyFactory, ce sur la base de l'expérience de cette "première" lors de la NDH. Du fait que les tests étaient limités dans le temps, nous avons constaté que c'est la course du côté des testeurs qui remontent parfois un peu trop rapidement des failles sans les avoir bien testées ou insuffisamment expliquées. Comme évoqué, le périmètre du bug bounty doit être bien choisi : il ne doit être ni trop restreint ni trop large. Sinon, nous pourrions voir pour sélectionner que des testeurs ayant démontré un niveau d'expertise donné - cela permettant d'avoir des remontées de failles particulièrement bien qualifiées.
Un dernier mot sur cette 14ième édition de la NDH ?
La NDH, c'est une grosse organisation bien huilée. L'ambiance est particulièrement bonne, les gens communicatifs et ouverts. Beaucoup d'effervescence en un seul endroit. Bravo aux speakers, organisateurs, exposants et à tous les participants - chaque année c'est une réussite renouvelée.
Propos recueillis par Jean-François (aka Jeff) Audenard.
De gauche à droite : Sophie Claude, Georgian Mihaila, Dario Viale, Rémi Cauchois, Olivier Moretti, Gaetan Njinang, Frederic Guegan
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens