StopCovid : un programme de bug bounty pour rendre l’app plus sûre

L’équipe projet chargée du développement de l’application StopCovid, menée par Inria, va faire appel aux hackers éthiques, pour renforcer la sécurité de sa solution. Sous les conseils de l’ANSSI, un programme de bug bounty va en effet être lancé dès demain.

Pour développer son application visant à lutter contre la propagation du coronavirus, StopCovid, le gouvernement a monté une équipe projet. Celle-ci est pilotée par l’Institut national de recherche en sciences et technologies du numérique (Inria) et est notamment composée de Capgemini, Dassault Systèmes, l’Inserm, ou encore Orange.

Recommandation de l’ANSSI

Par ailleurs, puisque la solution consiste à recueillir et analyser des données personnelles, la question de sa sécurité apparaît évidemment prépondérante. C’est pourquoi l’équipe projet comprend également des membres de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Pour protéger les futurs utilisateurs de StopCovid, l’organisation a proposé de recourir à un programme de bug bounty, une recommandation suivie par Inria. Cela signifie donc que l’application passera entre les mains expertes de « chasseurs de bugs », c’est-à-dire des hackers éthiques chargés de repérer des failles dans le code informatique, en l’échange d’une compensation. L’objectif : « pouvoir mettre à la disposition des citoyens une application s’appuyant sur les plus hauts standards en termes de sécurité et le dernier cri des algorithmes de cryptographie », dixit Bruno Sportisse, P.-D.G. d’Inria.

La chasse aux bugs ouvre dès demain

Répartis dans toute l’Europe, les hackers se mettront à l’œuvre dès ce mercredi 27 mai. Pour réunir une telle communauté, l’équipe projet s’est rapprochée de l’entreprise française YesWeHack, plateforme spécialisée dans le bug bounty.

Dès qu’un membre aura dévoilé une vulnérabilité, les développeurs de l’application se chargeront alors de la corriger. En parallèle de ce programme, d’autres actions continueront d’être menées par l’ANSSI, afin d’améliorer la sécurité de la solution.

En revanche, l’agence et Inria n’ont apporté aucune précision quant à la rétribution associée à la découverte d’une faille.

Source : Communiqué de presse

Comments are Closed