Olvid compte sur les 15 000 hackers de YesWeHack pour challenger la sécurité de son application
avril 2020 par Marc Jacob
YesWeHack annonce que la messagerie sécurisée française, Olvid, lance son programme de Bug Bounty public sur sa plateforme. En programme privé depuis le Forum International de la Cybersécurité (FIC) 2020 qui s’est tenu fin janvier, la start-up a décidé de passer en programme public pour se confronter aux 15 ?000 hackers de la communauté YesWeHack et renforcer encore plus la sécurité de sa messagerie.
Se présentant comme la messagerie la plus sécurisée du monde, Olvid s’appuie sur une architecture renforcée utilisant un minimum de librairies tierces et sur un chiffrement accru de bout en bout. La sécurisation de l’application est articulée en trois axes :
– Une vérification théorique du chiffrement par Michel Abdalla, un chercheur CNRS à l’ENS internationalement reconnu dans le domaine, qui prouve mathématiquement que les protocoles apportent les garanties mises en avant.
– Une Certification de Sécurité de Premier Niveau (CSPN) de l’Agence Nationale de la Sécurité des Systèmes d’Information.
– Un programme de Bug Bounty porté par le leader européen du domaine, YesWeHack, pour avoir la garantie que des chercheurs en cybersécurité scrutent tous les recoins de l’application pour détecter des vulnérabilités à exploiter.
« ?Pour une solution de messagerie ultra sécurisée comme Olvid, le Bug Bounty est indispensable : si nous voulons qu’une application résiste aux hackers, il faut la faire évaluer par des gens qui utilisent les mêmes méthodes d’attaque. C’est ce qu’est capable de nous apporter YesWeHack avec sa communauté internationale de chercheurs ? » déclare Matthieu Finiasz CTO et co fondateur d’Olvid. « C’est un peu effrayant au début de penser que des gens vont essayer d’attaquer votre produit, mais c’est essentiel. Je suppose qu’il est très confortable de vivre dans le déni, en pensant que si personne ne vous a encore attaqué, vous êtes en sécurité. Cependant, un jour, une attaque pourrait se produire, et la seule façon d’éviter cela est de faire tester son application. »
« ?Le passage sur un programme de Bug Bounty public était essentiel pour Olvid. D’abord pour challenger la sécurité de son application par le plus grand nombre de chercheurs, mais aussi pour apporter plus de transparence à ses milliers d’utilisateurs ? », déclare Guillaume Vassault-Houliere, CEO et Co-fondateur de YesWeHack.
Pendant les quatre mois qu’a duré le programme privé, qui regroupait une vingtaine de chercheurs invités, seules quelques vulnérabilités mineures ont été signalées, aucune n’était grave. Olvid souhaite désormais s’ouvrir à toute la communauté de YesWeHack. Dans le cadre de son programme public, les primes versées par Olvid s’élèveront de 50 à 2000euros.