Bug Bounty OVH, deux ans et tout d’un grand

Temps de lecture estimé : 4 minute(s)

Il y a deux ans, OVH faisait le choix de lancer un programme pour renforcer encore son dispositif en faveur de la sécurité. Pari gagnant avec 170 bugs avérés et une communauté de hunters de plus en plus large et impliquée.

Annoncé lors de la quatorzième édition de la Nuit du Hack*, le Bug Bounty OVH a été lancé en juin 2016. Depuis, plus de 120 hunters ont signalé 695 bugs, dont 170 avérés. Une initiative qui permet donc à OVH de pouvoir progresser chaque jour dans la sécurisation de ses services et produits. Selon Nassim Abbaoui, pentester pour OVH, « notre programme de Bug Bounty intervient en complément de tout notre dispositif et toute l’expertise déployés pour assurer une sécurité maximale à nos clients. Il permet de s’appuyer sur une communauté de chercheurs, hunters en anglais, spécialistes et passionnés qui contribuent à la recherche de la moindre vulnérabilité ».

Une sécurité à 360°

L’apport des hunters est d’autant plus intéressant que bien souvent, ces bugs concernent des failles de niche difficiles à déceler étant donné la masse de tous les services à surveiller. Une fois ces vulnérabilités étudiées et avérées, les équipes concernées œuvrent à leur résolution dans les plus brefs délais. Le périmètre du Bug Bounty OVH couvre les systèmes et produits du groupe, en excluant les vulnérabilités impliquant du déni de service ou du social engineering. Bien entendu, les infrastructures des clients d’OVH en sont également exclues.

Parmi les bugs avérés, ce n’est pas une surprise si près d’un tiers sont des cross-site scriptings (XSS), l’une des vulnérabilités les plus communes liées aux applications web. Viennent ensuite les injections XML pour 14 %. « La typologie de nos bugs est somme toute classique pour notre activité, explique Nassim. Le constat le plus intéressant du point de vue technique est qu’aucune vulnérabilité de type Injection SQL n’a été remontée en deux ans, ce qui montre une bonne sensibilisation des développeurs vis-à-vis de ce type de failles de sécurité ».

Primes et réputation

Pour les hunters (ou les white hats), l’intérêt réside dans les gratifications allouées en fonction de la pertinence des bugs révélés et de la qualité des réponses proposées. En deux années d’existence, certaines récompenses ont même atteint les 10 000 euros. « Les hunters sont aussi gratifiés par un système de points qui consolide leur réputation et leur permet ainsi d’accéder à certains programmes de Bug Bounty privés », précise Nassim Abbaoui. De ce fait, la communauté s’agrandit de jour en jour et regroupe de nombreux professionnels et amateurs avertis, avides de démontrer leurs compétences et de se faire un nom dans le domaine de la sécurité informatique.

Un positionnement résolument européen

Pour son Bug Bounty, OVH aurait pu s’associer à une plateforme américaine. Mais nous avons fait le choix d’opter pour une plateforme européenne qui respecte une législation stricte en matière de respect de la vie privée, bountyfactory.io. Pour Hugo Delval, devops dans l’équipe Sécurité d’OVH, « c’est aussi une manière de ne pas être assujetti à des dispositifs comme le Freedom Act (anciennement Patriot Act), qui pourraient nous obliger à fournir au gouvernement américain des informations sur nos infrastructures, sous prétexte de lutte contre le terrorisme ». D’ailleurs, la plateforme utilisée par OVH, qui est aussi celle choisie par Qwant, Orange ou encore BlaBlaCar est elle-même hébergée sur une solution Private Cloud d’OVH.

Créé au départ dans les années 90 par Netscape, les programmes de Bug Bounty se sont développés chez la plupart des acteurs majeurs du monde de l’IT. Même des géants les plus réfractaires comme Apple ou Microsoft ont pris conscience de l’apport de ces solutions communautaires. « On compte maintenant davantage ceux qui n’ont pas encore sauté le pas… », conclut Hugo Delval.

 

* Cette année encore, OVH est sponsor de la Nuit du Hack, le plus grand rassemblement français consacré à la sécurité informatique, via la fourniture d’infrastructure pour le wargame.

 

 

En savoir plus sur Bounty Factory by Yes We Hack

 

Korben, célèbre blogueur spécialisé dans l’IT est aussi le cofondateur de #YesWeHack la plateforme européenne de Bounty Factory. Entre OVH et Yes We Hack, les liens sont multiples : la plateforme communautaire bénéficie du programme d’accompagnement des startups d’OVH, le Digital Launch Pad. Elle héberge, à son tour, le programme de recherche en failles de sécurité d’OVH. Korben revient ici sur le concept de bug bounty et la contribution de la communauté des white hat hackers à l’amélioration de la sécurité sur Internet.