StopCovid : un programme de bug bounty pour rendre l’app plus sĂ»re

L’Ă©quipe projet chargĂ©e du dĂ©veloppement de l’application StopCovid, menĂ©e par Inria, va faire appel aux hackers Ă©thiques, pour renforcer la sĂ©curitĂ© de sa solution. Sous les conseils de l’ANSSI, un programme de bug bounty va en effet ĂŞtre lancĂ© dès demain.

Pour dĂ©velopper son application visant Ă  lutter contre la propagation du coronavirus, StopCovid, le gouvernement a montĂ© une Ă©quipe projet. Celle-ci est pilotĂ©e par l’Institut national de recherche en sciences et technologies du numĂ©rique (Inria) et est notamment composĂ©e de Capgemini, Dassault Systèmes, l’Inserm, ou encore Orange.

Recommandation de l’ANSSI

Par ailleurs, puisque la solution consiste Ă  recueillir et analyser des donnĂ©es personnelles, la question de sa sĂ©curitĂ© apparaĂ®t Ă©videmment prĂ©pondĂ©rante. C’est pourquoi l’Ă©quipe projet comprend Ă©galement des membres de l’Agence nationale de la sĂ©curitĂ© des systèmes d’information (ANSSI).

Pour protĂ©ger les futurs utilisateurs de StopCovid, l’organisation a proposĂ© de recourir Ă  un programme de bug bounty, une recommandation suivie par Inria. Cela signifie donc que l’application passera entre les mains expertes de « chasseurs de bugs », c’est-Ă -dire des hackers Ă©thiques chargĂ©s de repĂ©rer des failles dans le code informatique, en l’Ă©change d’une compensation. L’objectif : « pouvoir mettre Ă  la disposition des citoyens une application s’appuyant sur les plus hauts standards en termes de sĂ©curitĂ© et le dernier cri des algorithmes de cryptographie », dixit Bruno Sportisse, P.-D.G. d’Inria.

La chasse aux bugs ouvre dès demain

RĂ©partis dans toute l’Europe, les hackers se mettront Ă  l’Ĺ“uvre dès ce mercredi 27 mai. Pour rĂ©unir une telle communautĂ©, l’Ă©quipe projet s’est rapprochĂ©e de l’entreprise française YesWeHack, plateforme spĂ©cialisĂ©e dans le bug bounty.

Dès qu’un membre aura dĂ©voilĂ© une vulnĂ©rabilitĂ©, les dĂ©veloppeurs de l’application se chargeront alors de la corriger. En parallèle de ce programme, d’autres actions continueront d’ĂŞtre menĂ©es par l’ANSSI, afin d’amĂ©liorer la sĂ©curitĂ© de la solution.

En revanche, l’agence et Inria n’ont apportĂ© aucune prĂ©cision quant Ă  la rĂ©tribution associĂ©e Ă  la dĂ©couverte d’une faille.

Source : Communiqué de presse

Comments are Closed

Page Reader Press Enter to Read Page Content Out Loud Press Enter to Pause or Restart Reading Page Content Out Loud Press Enter to Stop Reading Page Content Out Loud Screen Reader Support