Bug Bounty : « Aidez-nous à renforcer notre sécurité ! »

Temps de lecture estimé : 5 minute(s)

*Attention, ce contenu a été publié il y a 2 années. Il n'est peut-être plus d'actualité.*

Depuis ce matin, le programme de recherche de failles de sécurité sur les infrastructures OVH est accessible à tous sur la plateforme bountyfactory.io. L’objectif : améliorer continuellement la sécurité des services proposés par le leader européen du Cloud.

Bug Bounty : "Venez renforcer notre sécurité !"

Présenté le samedi 2 juillet lors de la quatorzième édition de la Nuit du Hack qui s’est tenue à deux pas de Paris, le Bug Bounty OVH permet à l’ensemble des personnes intéressées par la sécurité informatique de signaler d’éventuelles failles relevées sur le périmètre de l’API et sur celui du Manager. Testé en interne, ce programme est désormais accessible sur la plateforme bountyfactory.io . Le principe est simple : toute faille de sécurité signalée est étudiée par les équipes chargées de la sécurité, corrigée si besoin et donne ensuite lieu à une récompense.

Pour attirer les meilleurs dans le Bug Bounty OVH, les récompenses peuvent s’élever jusqu’à 10 000 euros. Chaque signalement lié à une faille avérée donnera lieu à une récompense, financière dans la plupart des cas et parfois sous la forme de goodies ou de vouchers pour des failles en dehors du périmètre.

La sécurité, au cœur des priorités du groupe OVH

Créé il y a dix-sept ans, le groupe OVH a toujours fait de la sécurité sa priorité. Le signalement de failles était déjà possible via l’adresse email security[at]ovh.net et a déjà permis d’en corriger de nombreuses. Pour Vincent Malguy, de l’équipe SOC (pour Security Operation Center), « le lancement public du Bug Bounty est l’aboutissement de plusieurs années de réflexion. C’est l’émergence de la plateforme bountyfactory.io qui a permis de concrétiser le projet voulu par Octave Klaba. » En effet, jusqu’à présent, les plateformes de Bug Bounty existantes étaient toutes américaines. Impossible pour une entreprise attachée à la souveraineté de ses données comme OVH de stocker la liste de ces vulnérabilités hors du territoire national. La plateforme qui permet désormais à OVH de mener ce programme est en effet hébergée en interne sur l’offre Dedicated Cloud, infrastructure certifiée depuis plusieurs années ISO 27001.

Dès aujourd’hui, la plateforme est ouverte à tous. Chacun, qu’il soit spécialiste en sécurité informatique ou simple passionné, peut participer. Il suffit de créer un compte et de signaler la vulnérabilité détectée. Immédiatement, des membres de l’équipe SOC seront notifiés et prendront en charge un éventuel patch, puis la réponse. La rapidité de réaction d’OVH est évidemment l’une des clés de réussite du programme. Bénéfice secondaire, les white hat sont rapidement rémunérés pour leur travail en une semaine maximum. OVH s’est fixé une règle simple : si une notification entraine un patch, la personne à l’origine du signalement reçoit une récompense. Cette règle va garantir la transparence vis à vis de la communauté des white hat sans qui ce genre programme n’a pas de valeur. En plus d’une fluidification forte des échanges, la plate-forme bountyfactory.io permet à OVH de traiter la découverte de failles de sécurité de manière encadrée et en toute transparence.

« Le Bug Bounty renforce notre arsenal de sécurité »

L’ouverture du programme de recherche de failles au public vient compléter les nombreuses mesures prises en interne pour assurer la sécurité des infrastructures et des données clients. Ainsi, de nombreux tests d’intrusions à la fois internes et externes sont menés chaque année et permettent de s’assurer que les systèmes les plus critiques répondent aux exigences les plus élevées. Pour couvrir l’ensemble du spectre OVH et réduire au minimum l’existence de failles de sécurité, il a donc été décidé d’institutionnaliser et de normaliser la procédure liée aux signalements publics : « avec ce Bug Bounty, nous pouvons tester en permanence l’ensemble de nos infrastructures avec des profils différents et des compétences variées. Nous ne pourrions jamais couvrir un tel spectre sur une période aussi longue avec des audits classiques » rappelle Vincent.

Le renforcement des procédures de sécurité passe aussi par toute une batterie de certifications, dont ISO 27001 et ISO 27017, ainsi que la norme d’hébergement de données financières PCI DSS ou une certification liée aux données de santé actuellement en cours d’obtention. L’ensemble de ces outils et certifications permettent aux clients d’OVH de placer leurs données et applications en toute confiance dans les datacentres du leader européen du Cloud.

WANTED : Experts en API

Le Bug Bounty ne concerne pour le moment que les failles de sécurité découvertes sur l’API et sur le Manager OVH. Il sera rapidement étendu à tous les produits d’OVH. Pour l’équipe SOC, il est important que les participants au Bug Bounty connaissent les principales bases de notre API afin de trouver les bugs les plus intéressants : « le langage de programmation utilisé est principalement le perl avec des appels sur des micros API écrit en Python » explique Vincent, avant de rappeler que les données sont toutes stockées dans des bases PostgreSQL et MySQL. Les opérations qui gèrent la configuration des ressources demandées sont toutes gérées par des robots : concrètement, cela veut dire que des processus asynchrones dépilent les tâches. En fonction des produits, les protocoles de communication et les actions entreprises peuvent varier de l’exécution d’un script bash à l’appel d’un powershell . Le système d’exploitation le plus utilisé en interne chez OVH est Debian et la plupart des équipes utilisent les protections du noyau grsecurity.

« Bien que l’obscurité n’ait pas été retenue comme un moyen de défense, difficile d’en dire plus sans révéler des détails exposant les infrastructures, » explique Vincent. « Ce que nous pouvons simplement vous confier, c’est que nous utilisons un arsenal impressionnant d’outils de détection de vulnérabilités. Nous les faisons tourner très régulièrement sur nos infrastructures. Si ce type d’outils vous permet de trouver un bug, dites-vous bien que nous l’avons déjà évalué et que son signalement ne vous permettra pas de remporter une récompense importante. Pour dire les choses franchement, nous vous recommandons de sortir des sentiers battus et de vous concentrer sur la qualité. Un seul rapport démontrant que vous êtes parvenus à exécuter du code sur un de nos serveurs vous permettra de remporter 10 000 euros. Il vous faudra trouver 200 failles XSS pour arriver au même résultat… »

Participer au Bug Bounty