Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

BlaBlaCar ouvre son programme de Bug Bounty au public

avril 2018 par Emmanuelle Lamandé

Le spécialiste du covoiturage, BlaBlaCar a dû faire face ces dernières années à des remontées de failles, parfois divulguées sans préavis. Devant ce phénomène sauvage débouchant dans certains cas sur des situations complexes de négociation, BlaBlaCar a décidé de franchir le cap du bug bounty afin de proposer un cadre légal aux chercheurs en sécurité en les rémunérant via YesWeHack.

"Mi 2015 début 2016, nos besoins en sécurité opérationnelle ont augmenté de manière significative notamment à la suite de nos grosses levées de fonds qui ont suscité quelques convoitises. [...] Auparavant, nous faisions appel à des audits classiques menés par diverses entreprises [...] alors nous avons pris la décision de franchir le pas du Bug Bounty" analyse Alain Tiemblo, Web Security Lead Engineer chez BlaBlaCar.

Depuis septembre 2017, BlaBlaCar propose à un nombre d’experts en sécurité triés sur le volet, un programme de Bug Bounty privé afin de renforcer la sécurité opérationnelle de sa plateforme. Accessible jusqu’alors uniquement sur invitation via BountyFactory.io, la plateforme de bug bounty de YesWeHack, ce programme a permis à BlaBlaCar de rester proactif sur la cybersécurité de ses services.

"Notre communauté nous fait déjà confiance, et nous devons préserver leur confiance en leur livrant une plateforme sûre. Toute notre communication se concentre sur le partage et le mieux vivre ensemble." précise Alain Tiemblo.

Cette semaine, BlaBlaCar a choisi de franchir une nouvelle étape en annonçant l’ouverture au public de son programme de bug bounty. Le spécialiste du covoiturage va ainsi permettre à l’ensemble des 4 000 chercheurs en sécurité inscrits sur BountyFactory.io de rechercher des vulnérabilités et d’être récompensé selon la qualité et le niveau de criticité des rapports.

La pierre angulaire du service BlaBlaCar est sa communauté de covoitureurs, et c’est dans la continuité et le respect de cette valeur que la société a choisi de faire confiance à YesWeHack et à sa communauté d’experts en sécurité.

"Nous avons fait un comparatif des différentes plateformes de Bug Bounty en Europe et avons préféré prendre une entreprise française principalement pour des raisons de régulations. Le second critère était le nombre de hunters actifs sur la plateforme, ça ne sert pas à grand-chose de mettre de l’argent et de l’énergie dans un programme s’il n’y a aucun hunter pour le prendre." explique Alain Tiemblo

YesWeHack organise et gère depuis 2014 les programmes de bug bounty de nombreuses sociétés comme Orange, OVH ou encore ERCOM et dispose ainsi d’une expertise reconnue dans le secteur de la cybersécurité. Sa plateforme de bug bounty respecte la réglementation et les lois européennes et compte à ce jour la plus grande communauté de chercheurs de failles en Europe.

Cette ouverture publique de son programme de Bug Bounty va permettre à BlaBlaCar de se maintenir en condition de sécurité et ainsi d’obtenir jusqu’à 4 fois plus de remontées de bugs que dans le format privé. Cela va naturellement permettre de mettre à l’épreuve l’obligation de moyens imposée par la mise en place du RGPD et auquel toutes les entreprises doivent se soumettre, en augmentant sensiblement la sécurité des données personnelles des 60 millions de covoitureurs de BlaBlaCar répartis dans plus de 22 pays à travers le monde.




Voir les articles précédents

    

Voir les articles suivants