ZeroDisclo.com, une plateforme de signalement de faille « protégé »
Blockchain my CERT
Le 27 janvier 2017 à 10h30
4 min
Internet
Internet
Alors que le marché des bug bounties se structure, YesWeHack lance ZeroDisclo.com, une plateforme de remontée de faille non-rémunérée. L'objectif : responsabiliser la communauté en permettant aux hackers de signaler des vulnérabilités « anonymement », pour réduire les risques de poursuite.
Les services pour remonter les failles de sécurité sont en vogue. ZeroDisclo.com en est la dernière preuve. Lancé par YesWeHack, il s'adresse aux entreprises sans programme rémunéré de recherche de faille (bug bounty). Le but : offrir plus de sécurité (voire l'anonymat) aux personnes qui veulent signaler des problèmes, avec l'intention de responsabiliser la communauté. L'initiative se dit inspirée d'OpenBugBounty, un projet de « responsible disclosure » monté à la mi-2014.
« L’idée est que des failles soient remontées, qu’elles ne restent pas dans la tête d’un mec » nous affirme Manuel Dorne (Korben), co-créateur du projet. « C’est une plateforme qui permet aux personnes qui découvrent des failles de pouvoir les remonter en toute sécurité. Souvent, elles en proposent mais sans savoir quel en sera l’accueil, avec un risque de plainte de la part de la société victime. Rien de mieux pour inciter les gens à s’abstenir » poursuit-il.
Une garantie technique pour protéger les signalements
Dans les faits, ces remontées s'effectuent auprès d'un centre de réponse aux incidents informatiques (CERT). L'agence de sécurité informatique de l'État, l'ANSSI, gère par exemple le CERT-FR. Des sociétés privées disposent également du leur, même si cela semble encore plus rare. Aujourd'hui, « on peut certes remonter directement [les problèmes] à l’ANSSI, mais pareillement, ces personnes peuvent avoir une appréhension » à le faire, poursuit Manuel Dorne.
« Historiquement, des amis ont eu des soucis » en voulant avertir de vulnérabilités, nous précise Guillaume Vassault-Houlière, PDG de YesWeHack. Les entreprises concernées peuvent attaquer ces personnes qu'elles soupçonnent d'avoir pénétré leurs systèmes. « Le but était de fournir un moyen technique de signaler les failles, pour protéger une communauté qu'on connait depuis plus de dix ans » poursuit-il.
Jusqu'ici, les hackers détectant une faille avaient soit tendance à passer par l'ANSSI, des outils comme le protocole Zataz ou Hackerzvoice, l'association historique qui a engendré YesWeHack. Depuis la loi Numérique, l'ANSSI peut recevoir des signalements en protégeant l'identité du découvreur s'il n'y a pas de preuve d'intrusion. Interrogée, l'agence nous a indiqué recevoir à peine une dizaine de remontées par semaine.
Il s'agit tout de même d'un combat de longue date de son directeur Guillaume Poupard, avec lequel Guillaume Vassault-Houlière dit s'être longuement entretenu avant de lancer sa plateforme. L'ENISA, l'agence de sécurité informatique européenne, a aussi été mise dans la boucle. « Nous sommes connus de l’ANSSI et nous rentrons dans le cadre de la loi sur les lanceurs d’alerte en tant que plateforme » ajoute Manuel Dorne.
Une transmission « anonymisée » vers des CERT sélectionnés
La principale promesse est donc l'anonymat pour l'expéditeur. Le contenu de la faille étant chiffré (via OpenPGP.js, avec la clé publique du CERT visé), ZeroDisclo.com n'est pas censé pouvoir être accusé de recel. Le service ne voit que les métadonnées (les données générales sur la faille, dont le niveau de gravité CVSS), ce qui lui permet d'effectuer un tri minimal dans les signalements acceptés.
La plateforme est accessible via Tor et fournit un justificatif de dépôt, horodaté et signé via la blockchain, pour prouver la bonne foi du hacker au besoin. Pour le moment, les CERT contactables sont avant tout des entités publiques, même si des entreprises demanderaient déjà à s'inscrire.
Une future fonction doit permettre à une entreprise de suivre les remontées concernant ses noms de domaine. Par exemple, si le CERT-FR reçoit une alerte sur un site de Webedia, la société en sera avertie automatiquement. La fonction doit être gratuite, comme le reste du site.
Selon Guillaume Vassault-Houlière, il s'agit surtout d'un « coup de communication » et d'un service rendu à la communauté, qui a demandé deux mois de travail, dont deux semaines de développement avec Digital Security. Rappelons que les revenus de la société passent plutôt par la plateforme de bug bounty (programme de recherche de faille) B0unty Factory lancée il y a un an (voir notre entretien). Un créneau sur lequel la concurrence s'est créée rapidement, avec d'autres services à portée européenne comme Yogosha.
Les propos de Manuel Dorne ont été recueillis par Marc Rees.
ZeroDisclo.com, une plateforme de signalement de faille « protégé »
-
Une garantie technique pour protéger les signalements
-
Une transmission « anonymisée » vers des CERT sélectionnés
Commentaires (5)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 27/01/2017 à 10h45
c’est pas con du tout comme business model.
Les hackers font remonter anonymement et bénévolement les failles … et on revend tout ça sur le darknet " />
Le 27/01/2017 à 11h01
Vu que le système utilise GPG, personne à part l’émetteur et le récepteur ne pourront lire le compte-rendu de la faille.
Et une clé GPG peut-être unique et associé à aucune identité connue.
Le 27/01/2017 à 13h33
Zataz c’est trop bancal comme site…
" /> " />
Le 27/01/2017 à 17h20
Si j’ai bien compris, la personne signalant la faille sera anonyme, et son contenu directement transmis à la société concernée ?
C’est une bonne idée même si c’est dommage d’en arriver là… Il y a eu des plaintes pour des signalements de failles sans qu’elles soient utilisées :(
Le 27/01/2017 à 23h54
Déjà contacté pour une entreprise (pour recevoir des signalements de failles), ils n’ont pas l’aire de vouloir donner signe de vie. (Pas de confirmation de réception ou autre)
C’est dommage.