Cybersécurité : YesWeHack lève une armée

370
mars 2019
Les participants au Forum international de la cybersécurité ont relevé plusieurs défis, dont celui de YesWeHack, pour sécuriser des sites web.
Unique Agency

Des hackers “légaux” vérifient la sécurité des entreprises.

« Le bug bounty(1) s’inspire d’une pratique du Far West, explique Nicolas Diaz de YesWeHack. Des chasseurs de prime devaient trouver quelqu’un. Ils le ramenaient mort ou vif pour recevoir leur récompense. » Implantée près de Rennes(2) et intégrée au Pôle d’excellence cyber(3), YesWeHack participait fin janvier au Forum international de la cybersécurité à Lille (lire ci-contre). Cette société a créé la plus grande plate-forme européenne de bug bounty.

L’idée consiste à mettre les pirates du net à disposition des entreprises. De maudits pirates, sans foi ni loi ? Non, plutôt des corsaires, ou des “hackers éthiques”, également appelés “white hats”(4). Ces personnes ont le savoir-faire et les capacités des pirates, mais ils les utilisent en accord avec la loi. Et seulement au service de la sécurité d’une entreprise ou d’un État.

6500 experts

« Nous établissons clairement la distinction entre les hackers nobles, passionnés de sécurité, et les cybercriminels qui n’ont rien à voir avec nous », souligne Manuel Dorne, alias Korben. Très influent sur Internet, ce blogueur français a créé la start-up YesWeHack en 2013 avec Guillaume Vassault-Houlière, membre actif de l’association Hackerz voice(5). Le but ? Mettre à la disposition des entreprises une communauté de 6500 experts en cybersécurité. Ils testent la sécurité de leurs sites Internet à travers la plate-forme de bug bounty de YesWeHack.

Le principe est simple. La société ou l’association qui souhaite garantir la sécurité de ses services en ligne, ou de ses applications, soumet un périmètre à YesWeHack, « un terrain de jeu », comme le qualifie Nicolas Diaz. « Par exemple, Blablacar ou la Croix-Rouge peut demander à la communauté de chercher tel type de vulnérabilité sur tel site. » Des règles sont définies, notamment ne pas gêner le bon fonctionnement du site ou ne pas dévoiler de données d’utilisateurs.

Les hackers entrent ensuite en jeu. Ils dégainent leurs outils d’attaque personnalisés, pour s’introduire dans le code et chercher des failles. Est-il possible de détourner ce code pour accéder aux données de l’entreprise ou à celles de ses clients ? Peut-on se faire passer pour l’administrateur du système, afin de modifier le site ou l’application à sa guise ?

Réparer le bug

Une fois les failles trouvées, le corsaire consigne ses découvertes dans un rapport qu’il transmet à la plate-forme de YesWeHack. Ce rapport permet à l’entreprise de retracer le chemin du marin d’eau trouble, jusqu’au bug. Afin de le réparer et de déterminer s’il est critique ou pas. La société décide quelle prime est octroyée pour ce butin de chasse. « Cela peut être sous forme de points, donc de places dans un classement, poursuit Nicolas Diaz. La prime peut également se concrétiser par des goodies ou un paiement bancaire. » Contrairement aux pirates informatiques, ceux qui se lancent dans le bug bounty ne sont pas d’abord motivés par l’appât du gain.

« Ils sont intéressés par le jeu, le défi, la curiosité. Et notre plate-forme leur permet d’exercer leur art. »

La Bretagne au front
Gilles Petipas / BDI

Les acteurs bretons de la cybersécurité étaient présents à Lille.

Au Forum international de la cybersécurité.

La sécurisation des objets connectés grâce à l’entreprise Acklio, le tampon connecté de Bystamp pour faciliter l’authentification, la détection des incidents de sécurité en temps réel par Sekoïa ou encore le bug bounty de YesWeHack (lire ci-contre) : l’offre de cybersécurité bretonne s’enrichit. La représentation des acteurs régionaux au Forum international de la cybersécurité, qui s’est déroulé au Grand Palais de Lille les 22 et 23 janvier 2019, en témoigne.

Sept centres de recherche

Cette année, vingt-six entreprises, sept centres de recherche et écoles d’enseignement supérieur, ainsi que Rennes Métropole étaient présents à ce rendez-vous majeur de la cybersécurité. Soit cinq acteurs de plus qu’en 2018. Certains avaient leur propre stand, comme Akerva ou Amossys, deux sociétés de conseil en cybersécurité basées en Ille-et-Vilaine. Mais la plupart étaient regroupés sur le stand du Pôle d’excellence Cyber, associé à la Région Bretagne. Sur place, Loïg Chesnais-Girard, le président de la Région, s’est félicité de l’augmentation du nombre d’entreprises bretonnes présentes au forum.

Lors de cette onzième édition du FIC, qui a accueilli 9700 visiteurs sur le thème “Security by design”(6), l’écosystème breton a été remarqué avec plusieurs lauréats. Les sociétés rennaises Acklio et Shadline(7) ont été sélectionnées pour le prix de la start-up FIC. La première propose des logiciels pour les objets connectés, la seconde a créé une plate-forme de messagerie sécurisée pour les entreprises.

Saint-Cyr Coëtquidan

Un autre prix prestigieux, celui de la Cyberdéfense, a été remis aux chercheurs du Crec(8) à Coëtquidan, Stéphane Taillat, Amaël Cattaruzza et Didier Danet. Ils sont récompensés pour le livre La Cyberdéfense, politique de l’espace numérique(9), dont ils ont dirigé la rédaction. Le forum a été marqué par le contrat signé entre Thales et la société brestoise Diateam, qui propose aux entreprises une plate-forme d’entraînement aux cyberattaques. Ce contrat officialise un partenariat qui existe depuis 10 ans. À travers ces exemples, et bien d’autres, la Bretagne confirme sa place de deuxième “région cyber” après l’Île-de-France.

Renseignements encadré : 
Manuel Dorne, m.dorne@yeswehack.com Nicolas Diaz, n.diaz@yeswehack.com

Tabs

Claire Guérou

Ajouter un commentaire

L'ACTUALITÉ