Conformément aux recommandations de l’ANSSI, l’équipe-projet StopCovid met l’application entre les mains expertes des chercheurs de bugs

mai 2020 par Marc Jacob

En tant qu’autorité nationale référente en matière de sécurité du numérique, l’ANSSI a conseillé à Inria, un audit de type Bug Bounty pour l’application StopCovid, actuellement développée sous forme d’un prototype en amont de toute décision politique, en parallèle des audits et contrôles de sécurité réalisés par l’agence et ses partenaires, tout au long de la conception. Ainsi, l’équipe-projet StopCovid a fait appel à de nombreux hackers éthiques (appelés « hunters ») de la communauté YesWeHack, qui vont débuter ce mercredi 27 mai la recherche d’éventuelles failles de sécurité.

Des chasseurs de bugs internationaux et indépendants

Le Bug Bounty offre des capacités de recherches de bugs et de vulnérabilités démultipliées, grâce à la participation de hackers éthiques. Dans le cadre du projet StopCovid, une vingtaine d’experts répartis dans toute l’Europe vont commencer à tester la sécurité de l’application, ce mercredi 27 mai. Ils seront suivis dès le 2 juin par l’ensemble des hackers de la communauté YesWeHack qui le souhaiteront. En cas de découverte d’une vulnérabilité par la communauté, l’équipe projet StopCovid sera ainsi en mesure de procéder à la correction des bugs critiques pour le bon fonctionnement et la sécurité de l’application.

Un appel à la communauté primordial

L’ANSSI et Inria se félicitent de pouvoir faire appel à la communauté d’experts en cybersécurité, via le recours au Bug Bounty. Cette mobilisation générale garantira une fiabilité optimale de l’application, tout au long de son cycle de vie. « Pour l’ANSSI, la sécurité de l’application doit être assurée par le cumul de plusieurs procédés. L’aide à la conception sécurisée puis l’audit de l’application réalisé par nos experts, doivent être complétés par le contrôle du code publié en open-source par la communauté numérique et par l’organisation de recherches de failles informatiques, de types bug bounty », explique Guillaume Poupard, directeur général de l’ANSSI.

« Pour Inria, comme pour l’ensemble des partenaires et contributeurs de l’équipe-projet StopCovid, la cybersécurité est une préoccupation majeure, afin de pouvoir mettre à la disposition des citoyens une application s’appuyant sur les plus hauts standards en terme de sécurité et le dernier cri des algorithmes de cryptographie.

Comme dans tout système informatique, des failles peuvent exister, d’où l’importance de l’engagement dans le projet de l’ANSSI et de spécialistes du domaine, comme YesWeHack pour nous prémunir d’éventuelles attaques malveillantes », déclare Bruno Sportisse, PDG d’Inria.

Les retours de ces contributeurs seront publiés sur le site YesWeHack et déversés sur le GitLab Inria StopCovid, où le code source sera accessible à tous ceux qui souhaitent le consulter.