Cybersécurité : YesWeHack lève une armée

Actualité

N° 370 - Publié le 6 mars 2019
Unique Agency
Les participants au Forum international de la cybersécurité ont relevé plusieurs défis, dont celui de YesWeHack, pour sécuriser des sites web.

Des hackers “légaux” vérifient la sécurité des entreprises.

« Le bug bounty(1) s’inspire d’une pratique du Far West, explique Nicolas Diaz de YesWeHack. Des chasseurs de prime devaient trouver quelqu’un. Ils le ramenaient mort ou vif pour recevoir leur récompense. » Implantée près de Rennes(2) et intégrée au Pôle d’excellence cyber(3), YesWeHack participait fin janvier au Forum international de la cybersécurité à Lille (lire ci-contre). Cette société a créé la plus grande plate-forme européenne de bug bounty.

L’idée consiste à mettre les pirates du net à disposition des entreprises. De maudits pirates, sans foi ni loi ? Non, plutôt des corsaires, ou des “hackers éthiques”, également appelés “white hats”(4). Ces personnes ont le savoir-faire et les capacités des pirates, mais ils les utilisent en accord avec la loi. Et seulement au service de la sécurité d’une entreprise ou d’un État.

6500 experts

« Nous établissons clairement la distinction entre les hackers nobles, passionnés de sécurité, et les cybercriminels qui n’ont rien à voir avec nous », souligne Manuel Dorne, alias Korben. Très influent sur Internet, ce blogueur français a créé la start-up YesWeHack en 2013 avec Guillaume Vassault-Houlière, membre actif de l’association Hackerz voice(5). Le but ? Mettre à la disposition des entreprises une communauté de 6500 experts en cybersécurité. Ils testent la sécurité de leurs sites Internet à travers la plate-forme de bug bounty de YesWeHack.

Le principe est simple. La société ou l’association qui souhaite garantir la sécurité de ses services en ligne, ou de ses applications, soumet un périmètre à YesWeHack, « un terrain de jeu », comme le qualifie Nicolas Diaz. « Par exemple, Blablacar ou la Croix-Rouge peut demander à la communauté de chercher tel type de vulnérabilité sur tel site. » Des règles sont définies, notamment ne pas gêner le bon fonctionnement du site ou ne pas dévoiler de données d’utilisateurs.

Les hackers entrent ensuite en jeu. Ils dégainent leurs outils d’attaque personnalisés, pour s’introduire dans le code et chercher des failles. Est-il possible de détourner ce code pour accéder aux données de l’entreprise ou à celles de ses clients ? Peut-on se faire passer pour l’administrateur du système, afin de modifier le site ou l’application à sa guise ?

Réparer le bug

Une fois les failles trouvées, le corsaire consigne ses découvertes dans un rapport qu’il transmet à la plate-forme de YesWeHack. Ce rapport permet à l’entreprise de retracer le chemin du marin d’eau trouble, jusqu’au bug. Afin de le réparer et de déterminer s’il est critique ou pas. La société décide quelle prime est octroyée pour ce butin de chasse. « Cela peut être sous forme de points, donc de places dans un classement, poursuit Nicolas Diaz. La prime peut également se concrétiser par des goodies ou un paiement bancaire. » Contrairement aux pirates informatiques, ceux qui se lancent dans le bug bounty ne sont pas d’abord motivés par l’appât du gain.

« Ils sont intéressés par le jeu, le défi, la curiosité. Et notre plate-forme leur permet d’exercer leur art. »

La Bretagne au front

Au Forum international de la cybersécurité.

La sécurisation des objets connectés grâce à l’entreprise Acklio, le tampon connecté de Bystamp pour faciliter l’authentification, la détection des incidents de sécurité en temps réel par Sekoïa ou encore le bug bounty de YesWeHack (lire ci-contre) : l’offre de cybersécurité bretonne s’enrichit. La représentation des acteurs régionaux au Forum international de la cybersécurité, qui s’est déroulé au Grand Palais de Lille les 22 et 23 janvier 2019, en témoigne.

Sept centres de recherche

Cette année, vingt-six entreprises, sept centres de recherche et écoles d’enseignement supérieur, ainsi que Rennes Métropole étaient présents à ce rendez-vous majeur de la cybersécurité. Soit cinq acteurs de plus qu’en 2018. Certains avaient leur propre stand, comme Akerva ou Amossys, deux sociétés de conseil en cybersécurité basées en Ille-et-Vilaine. Mais la plupart étaient regroupés sur le stand du Pôle d’excellence Cyber, associé à la Région Bretagne. Sur place, Loïg Chesnais-Girard, le président de la Région, s’est félicité de l’augmentation du nombre d’entreprises bretonnes présentes au forum.

Lors de cette onzième édition du FIC, qui a accueilli 9700 visiteurs sur le thème “Security by design”(6), l’écosystème breton a été remarqué avec plusieurs lauréats. Les sociétés rennaises Acklio et Shadline(7) ont été sélectionnées pour le prix de la start-up FIC. La première propose des logiciels pour les objets connectés, la seconde a créé une plate-forme de messagerie sécurisée pour les entreprises.

Saint-Cyr Coëtquidan

Un autre prix prestigieux, celui de la Cyberdéfense, a été remis aux chercheurs du Crec(8) à Coëtquidan, Stéphane Taillat, Amaël Cattaruzza et Didier Danet. Ils sont récompensés pour le livre La Cyberdéfense, politique de l’espace numérique(9), dont ils ont dirigé la rédaction. Le forum a été marqué par le contrat signé entre Thales et la société brestoise Diateam, qui propose aux entreprises une plate-forme d’entraînement aux cyberattaques. Ce contrat officialise un partenariat qui existe depuis 10 ans. À travers ces exemples, et bien d’autres, la Bretagne confirme sa place de deuxième “région cyber” après l’Île-de-France.

Manuel Dorne, m.dorne@yeswehack.com
Nicolas Diaz, n.diaz@yeswehack.com
Claire Guérou

(1) “Bug bounty” peut se traduire par “Prime pour la découverte d’un bug informatique”.
(2) YesWeHack a son siège social à Paris et des bureaux à Cesson-Sévigné, près de Rennes, à Rouen et Lausanne. Elle emploie onze salariés. Trois d’entre eux sont à Cesson-Sévigné, dont Nicolas Diaz, consultant en communication.
(3) Le Pôle d’excellence cyber a été initié en 2014 par le ministère des Armées et le Conseil régional de Bretagne.
(4) Chapeaux blancs.
(5) Hackerz voice organise tous les ans la Nuit du hack à Paris (challenges, workshops et conférences, qui s’appelle désormais “leHack”.
(6) Intégration de la sécurité et de la protection de la vie privée, en amont des projets d’une entreprise.
(7) Lire Le cybergardien des secrets, Sciences Ouest n° 351, avril 2017.
(8) Centre de recherche des écoles de Saint-Cyr Coëtquidan.
(9) Éd. Armand Colin, 2018.

TOUTES LES ACTUALITÉS

Abonnez-vous à la newsletter
du magazine Sciences Ouest

Suivez Sciences Ouest