L'Institut national de recherche en informatique et en automatique (INRIA) veut bétonner la sécurité informatique de l’application de traçage de contacts StopCovid. Le centre de recherche va faire appel au service de chasseurs de bugs, qui seront rémunérés
s’ils parviennent à trouver des failles de sécurité dans le code de l’application, selon un communiqué diffusé le lundi 25 mai 2020.
Son équipe projet StopCovid suit ainsi l’une des recommandations fortes qu’avait émise l’ANSSI (Agence nationale pour la sécurité des système d’information) pour s’assurer que l’application destinée à lutter contre la propagation de la pandémie soit la plus robuste possible en terme de cybersécurité. Cette procédure vient en complément des audits classiques de sécurité réalisés par l’agence et d’autres partenaires informatiques.
des chasseurs de bugs répartis en Europe
Cette procédure, connue sous le nom de bug bounty, sera strictement encadrée. L’équipe-projet StopCovid va faire appel aux hackers éthiques de la communauté YesWeHack, l’un des plus grands prestataires dans ce domaine. Ces "hunters" vont débuter dès le 27 mai la recherche d'éventuelles failles de sécurité. Dans un premier temps, seule une vingtaine d'experts répartis dans toute l'Europe vont commencer à tester et éprouver la sécurité de l'application.
Ensuite, à partir du 2 juin, l’ensemble des hackers de la communauté YesWeHack pourront se joindre à la démarche. "En cas de découverte d’une vulnérabilité par la communauté, l’équipe projet StopCovid sera ainsi en mesure de procéder à la correction des bugs critiques pour le bon fonctionnement et la sécurité de l'application", souligne le communiqué de presse commun de l’INRIA et de l’ANSSI.
Fin avril, l’ANSSI avait émis plusieurs recommandations pour sécuriser l’application StopCovid. Cela concernait l’ensemble des éléments de l’application : le serveur central, la connexion Bluetooth, les identifiants pseudonymisés, le code lui-même…
