Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

BlaBlaCar ouvre son programme de Bug Bounty au public

avril 2018 par Emmanuelle Lamandé

Le spécialiste du covoiturage, BlaBlaCar a dû faire face ces dernières années à des remontées de failles, parfois divulguées sans préavis. Devant ce phénomène sauvage débouchant dans certains cas sur des
situations complexes de négociation, BlaBlaCar a décidé de franchir le cap du bug bounty afin de proposer
un cadre légal aux chercheurs en sécurité en les rémunérant via YesWeHack.

"Mi 2015 début 2016, nos besoins en sécurité opérationnelle ont augmenté de manière significative notamment à la suite de nos
grosses levées de fonds qui ont suscité quelques convoitises. [...] Auparavant, nous faisions appel à des audits classiques menés
par diverses entreprises [...] alors nous avons pris la décision de franchir le pas du Bug Bounty" analyse Alain Tiemblo, Web Security Lead Engineer chez BlaBlaCar.

Depuis septembre 2017, BlaBlaCar propose à un nombre d’experts en sécurité triés sur le volet, un
programme de Bug Bounty privé afin de renforcer la sécurité opérationnelle de sa plateforme. Accessible
jusqu’alors uniquement sur invitation via YesWeHack.com, la plateforme de bug bounty de YesWeHack, ce
programme a permis à BlaBlaCar de rester proactif sur la cybersécurité de ses services.

"Notre communauté nous fait déjà confiance, et nous devons préserver leur confiance en leur livrant une plateforme sûre. Toute
notre communication se concentre sur le partage et le mieux vivre ensemble." précise Alain Tiemblo.

Cette semaine, BlaBlaCar a choisi de franchir une nouvelle étape en annonçant l’ouverture au public de son programme de bug bounty. Le spécialiste du covoiturage
va ainsi permettre à l’ensemble des 4 000 chercheurs en sécurité inscrits sur YesWeHack.com de rechercher
des vulnérabilités et d’être récompensé selon la qualité et le niveau de criticité des rapports.

La pierre angulaire du service BlaBlaCar est sa communauté de covoitureurs, et c’est dans la continuité et le
respect de cette valeur que la société a choisi de faire confiance à YesWeHack et à sa communauté
d’experts en sécurité.

"Nous avons fait un comparatif des différentes plateformes de Bug Bounty en Europe et avons préféré prendre une entreprise
française principalement pour des raisons de régulations. Le second critère était le nombre de hunters actifs sur la plateforme, ça ne
sert pas à grand-chose de mettre de l’argent et de l’énergie dans un programme s’il n’y a aucun hunter pour le prendre." explique
Alain Tiemblo

YesWeHack organise et gère depuis 2014 les programmes de bug bounty de nombreuses sociétés comme
Orange, OVH ou encore ERCOM et dispose ainsi d’une expertise reconnue dans le secteur de la
cybersécurité. Sa plateforme de bug bounty respecte la réglementation et les lois européennes et compte à
ce jour la plus grande communauté de chercheurs de failles en Europe.

Cette ouverture publique de son programme de Bug Bounty va permettre à BlaBlaCar de se maintenir en
condition de sécurité et ainsi d’obtenir jusqu’à 4 fois plus de remontées de bugs que dans le format privé.
Cela va naturellement permettre de mettre à l’épreuve l’obligation de moyens imposée par la mise en place
du RGPD et auquel toutes les entreprises doivent se soumettre, en augmentant sensiblement la sécurité des
données personnelles des 60 millions de covoitureurs de BlaBlaCar répartis dans plus de 22 pays à travers
le monde.


Voir les articles précédents

    

Voir les articles suivants