Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Bug Bounty : Interview de Yes We Hack, nouveau partenaire du ministère des Armées

Un Bounty avant mars

Bug Bounty : Interview de Yes We Hack, nouveau partenaire du ministère des Armées

Le 24 janvier 2019 à 17h26

Yes We Hack a été choisi par le Commandement de la cyberdéfense (COMCYBER) et ses 3 400 cybercombattants pour devenir la première plateforme à se lancer dans l’exercice d’un bug bounty. Romain Lecoeuvre, directeur technique de la société, a bien voulu répondre à nos questions lors du FIC de Lille.

Le ministère des Armées a mis le cap sur un programme de bug bounty. L’annonce a été faite lors du Forum Internationale sur la cybercriminalité. Une première qui a profité à la plateforme française Yes We Hack.

Que prévoit ce partenariat noué avec entre le ministère et votre plateforme ?

Le COMCYBER va pouvoir créer ses propres programmes sur les périmètres du ministère en invitant sa communauté de chercheurs, une communauté de confiance provenant de la réserve opérationnelle cyber. Tous ces chercheurs en vulnérabilité testeront donc les périmètres mis à contribution par le ministère des Armées. Le premier programme est prévu pour fin février, comme l’a annoncé la ministre, Florence Parly.

 « Périmètres », c’est-à-dire ?

Un site web, une URL, des adresses IP, ce peut être également des logiciels du ministère des Armées. Probablement vont-ils commencer par defense.gouv.fr, ou l’un de ses sous-domaines en particulier.

De notre côté, nous avons travaillé avec le COMCYBER lorsqu’il cherchait une solution innovante, capable de répondre à ses besoins en termes de périmètres exposés, par définition très vastes pour ce ministère. Il voulait aussi pouvoir mettre à profit sa réserve opérationnelle pour la faire monter en compétence au fil de ces tests.

Quelle est la genèse de ce partenariat ?

C’est Guillaume Vassault Houlière, CEO de Yes We Hack, qui avait discuté avec le vice-amiral Arnaud Coustillière voilà plus d’un an à la Nuit du Hack. Lors de nos échanges, nous avions pris pour exemple de ce qui faisait aux États unis avec des bug bounty tels Hack the Pentagon ou Hack the Air Force.

Le ministère a été séduit par les côtés innovateur et malléable. On peut en faire ce qu’on en veut, avec les gens qu’on veut, tout en faisant intervenir les acteurs que l’on veut. On a la main en permanence sur son programme : le démarrer, le modifier, le fermer quand on veut, inviter plus ou moins de chercheurs.

C’est complètement agile et dans l’air du temps de la transformation numérique.

Qui dit bug bounty, dit récompenses. Qu’en est-il exactement ?

Pour le moment, l’attribution des récompenses n’est pas définie. À dire vrai, nous sommes trop tôt dans le projet. Ces parties financières seront abordées lors des réunions préparatoires à venir.

De manière générale, les grilles de rémunération sont élaborées par les clients, en rapport avec les spécificités du périmètre et l’expertise demandée. Hors ministère des Armées, sur nos programmes classiques, les grilles vont de 50 à parfois plus de 10 000 euros.

Quel sera concrètement le rôle de Yes We Hack ?

Le COMCYBER font appel à nous pour pouvoir bénéficier d’une plateforme de confiance, où les rapports de vulnérabilités seront soumis par les réservistes opérationnels. Ces rapports seront stockés dans nos infrastructures. Chaque rapport sera chiffré avec une clé unique, et structuré afin, derrière, de pouvoir être capitalisé par le ministère.

Quel avantage de passer par une solution externalisée ?

Cela permet de cadrer au mieux son programme et, comme je le disais, d’uniformiser les rapports de vulnérabilités (failles recherchées, failles acceptées, etc.) plutôt que chacun fasse un programme en interne, remontant les failles de son côté, sous des formats différents.

Aurez-vous accès à ces rapports ?

Non, nous n’avons accès à aucun des rapports d’aucun de nos clients. Ils sont accessibles qu’aux seuls réservistes et au COMCYBER. L’avantage d’un tel schéma est que chaque client a la possibilité de se créer sa propre communauté de confiance via notre plateforme ouverte.

Vous êtes par définition amené à gérer des dossiers sensibles, mais avez-vous fait éprouver votre propre plateforme ?

En termes de sécurité, nous sommes nous-mêmes en programme de bug bounty public. Nous sommes donc testés par toute notre communauté depuis notre lancement, début 2016. Nous sommes à plus de 6 700 chercheurs sur la plateforme inscrits, qui la testent en permanence.

Commentaires (24)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

D’autant que ça ressemble à une référence à Yes we can, qui serait perdue en français.

votre avatar

Un nom Français ? Si c’est pour avoir des noms Franglais comme le fait orange, c’est à éviter.

votre avatar







fred42 a écrit :



Voyons, l’Irlande reste dans l’UE et vu les sociétés qui s’y installent, c’est un pays important. <img data-src=" />





<img data-src=" />


votre avatar

Merci pour le sous titre ça m’a fait rire… <img data-src=" />



Sinon je pense que c’est une bonne chose en plus d’être franco français les petites structures bossent souvent pour les ministères et ça c’est bien le seul hic c’est au moment du paiement j’ai dépassé les 18 mois par l’éducation nationale… donc un autre ministère doit être du même bois… préparez un peut de tréso les gars vous allez en avoir besoin <img data-src=" />

votre avatar

Si le but c’est d’avoir une visbilite internationale et non de s’enfermer dans un marche limite a 60M bouzeux, non c’est une mauvaise idee.

C’est mon avis.

votre avatar

“Yes We Scam” aurait un meilleur nom plus réaliste.

votre avatar



l’air du temps de la transformation numérique.





Même si le nom de leur boite est anglophone ils n’utilisent pas d’anglicisme à la con <img data-src=" />

votre avatar







Mimoza a écrit :



Même si le nom de leur boite est anglophone ils n’utilisent pas d’anglicisme à la con <img data-src=" />



Il n’y a que les Francais (et un peu les Belges) qui font des anglicismes à la con, en fait <img data-src=" />


votre avatar

la francophonie, c’est un peu plus que 60M bouzeux, hein… faut sortir du petit hexagone (environ 220 millions de personnes, uniquement dans les pays membres de l’OIF)

votre avatar

<img data-src=" />

Encore que, je ne sais pas si on compte le creole comme francophone

<img data-src=" />



Sinon pour l’anglais ca touche potentiellement un marche plus grand:

Nombre de locuteurs

langue maternelle : 360–400 millions en 20061

langue étrangère : 199 millions–1,4 milliard(1)

(1)selon ce qu’on entend par « savent »



Et pour l’espagnol:

Nombre de locuteurs

577 millions dont :

L1 : 480 millions

L2 : 75 millions



Apres, faut voir les marches qu’on vise…

votre avatar

Donc si je comprends bien, à part une plate-forme sécurisée, où les chercheurs s’échangent entre eux leur découverte, les contrats openbar du plus gros fournisseur de la NSA n’ont rien à craindre…

Tant mieux pour manu et ses copains : le business est toujours bon à prendre.

Mais en terme d’indépendance et de souveraineté, l’armée française reste liée à l’OTAN via l’article 42 du TFUE, et continuera donc à suivre les américains dans leurs guerres “préventives” totalement illégales au regard du droit international, à coup de fausse propagande largement relayée dans nos médias complices, le tout face à des pays qui ne nous ont même pas agressé.

votre avatar







barlav a écrit :



Si le but c’est d’avoir une visbilite internationale et non de s’enfermer dans un marche limite a 60M bouzeux, non c’est une mauvaise idee.

C’est mon avis.







<img data-src=" />



Le français est encore dans le top 5 des langues commerciales malgré tous les dénigrements de la France d’en haut.

Malheureusement, comme ton commentaire l’illustre, le message est totalement acceptée par la population à force d’être martelé.



Le nombre de personnes s’exprimant en français continue d’augmenter dans le monde, le monde qui a encore un fort potentiel de développement économique et démographique. Et on aurait pu faire encore bien mieux avec une politique volontariste et un maintien des liens forts avec les anciennes colonies et autres protectorats.


votre avatar

<img data-src=" />

Désolé de vous décevoir, vraiment.



Mais le monde informatique est tourné vers l’anglais.

Je ne pense pas qu’un langage de programmation français existe, si?

A 14ans, j’ai appris à lire l’anglais pour pouvoir programmer en pascal.



Je ne pense pas que la sénégalaise francophone soit vraiment au fait de ce que fait cette société.

Il faut étudier le marché informatique en volume d’argent brassé et pas le cheptel linguistique amha pour cette société.

<img data-src=" />

votre avatar







barlav a écrit :



<img data-src=" />

Désolé de vous décevoir, vraiment.



Mais le monde informatique est tourné vers l’anglais.

Je ne pense pas qu’un langage de programmation français existe, si?

A 14ans, j’ai appris à lire l’anglais pour pouvoir programmer en pascal.



Je ne pense pas que la sénégalaise francophone soit vraiment au fait de ce que fait cette société.

Il faut étudier le marché informatique en volume d’argent brassé et pas le cheptel linguistique amha pour cette société.

<img data-src=" />







It’s so sad to be so contemptuous…

But I do wonder : why bother with a french computer related web site since it obviously goes against your own logic ? That somewhat kills me… <img data-src=" />


votre avatar

Pour retenir c’est facile, il suffit d’être une tête de … linotte ! :)



https://fr.m.wikipedia.org/wiki/Linotte_(langage)



Et il faut connaitre combien de mots en anglais pour programmer ? une vingtaine, pas plus.

votre avatar







lateo a écrit :



It’s so sad to be so contemptuous…

But I do wonder : why bother with a french computer related web site since it obviously goes against your own logic ? That somewhat kills me… <img data-src=" />







Vous me touchez à chercher autant, c’est vrai que j’aime le français, je le pratique autant que possible et je souffre dès qu’un étranger viole toute la mélodie et la nuance d’émotion de de ce language.

Je suis très limité au boulot dès qu’on parle anglais parce je ne maitrise que les termes techniques, mais je ne sais pas nuancer ni traduire de sentiments.

<img data-src=" />



C’est une limitation personnelle, je pense que beaucoup sont plus à l’aise que moi pour interagir en anglais entre des dialectes fondamentalement différents.



Ce qui m’a plu dans le langage informatique anglais, c’est qu’il y a moins d’incertitude.

Si tu n’as pas l’action attendue, c’est que tu formules mal. C’est carré quand au comportement demandé.

Après, c’était de la programmation d’une autre époque.



Donc Merci pour la piqure de rappel!


votre avatar







barlav a écrit :



<img data-src=" />

Désolé de vous décevoir, vraiment.



Mais le monde informatique est tourné vers l’anglais.

Je ne pense pas qu’un langage de programmation français existe, si?

A 14ans, j’ai appris à lire l’anglais pour pouvoir programmer en pascal.



Je ne pense pas que la sénégalaise francophone soit vraiment au fait de ce que fait cette société.

Il faut étudier le marché informatique en volume d’argent brassé et pas le cheptel linguistique amha pour cette société.

<img data-src=" />





Dans mon souvenir, quand j’étais jeune je pouvais coder en Logo dans la langue de Molière :

AVANCE 10

TOURNE 90

AVANCE 10





Et sinon, en complément de la discussion sur la place de la langue française dans le monde, cette page est intéressante. Ne pas oublier qu’un certain nombre de pays encore en forte croissance démographique parlent français - contrairement au Mandarin qui a un peu atteint un plafond. Si la France décide de ne pas laisser tomber cette partie de son patrimoine (pas gagné…) sa langue est loin d’être finie.


votre avatar

Si tu te limites aux mots clés, certes, mais dès que tu cherches de la documentation, ou de l’aide en général, ou bien que tu veux participer à un projet un peu plus gros qu’un hello world, mieux vaut connaître l’anglais :).

votre avatar

après la French Tech, Yes We Hack. Peuvent pas trouver de nom français !!!

votre avatar







spidermoon a écrit :



après la French Tech, Yes We Hack. Peuvent pas trouver de nom français !!!





La technologie française ou Oui nous bricolons !


votre avatar

« ce peut être également des logiciels du ministère des Armées »

<img data-src=" />



« commencer par defense.gouv.fr, ou l’un de ses sous-domaines »

Aaaaaaaah…j’me disais bien…



« périmètres exposés, par définition très vastes pour ce ministère. »

<img data-src=" />



« C’est complètement agile et dans l’air du temps de la transformation numérique. »

Ah, ok, en fait ils ont capté les mots-clefs à la mode dans ce ministère et su vendre leur truc.



M’enfin si on fait abstraction des éléments de langage désopilants, c’est plutôt positif comme contrat.

votre avatar

On a évité le pire : ça aurait pu être en allemand.







Je blague mais à la réflexion ce n’est même pas drôle : on pourrait y venir une fois le royaume uni sorti de l’UE.

votre avatar

Voyons, l’Irlande reste dans l’UE et vu les sociétés qui s’y installent, c’est un pays important. <img data-src=" />

votre avatar



<img data-src=" /><img data-src=" />

Bug Bounty : Interview de Yes We Hack, nouveau partenaire du ministère des Armées

  • Que prévoit ce partenariat noué avec entre le ministère et votre plateforme ?

  •  « Périmètres », c’est-à-dire ?

  • Quelle est la genèse de ce partenariat ?

  • Qui dit bug bounty, dit récompenses. Qu’en est-il exactement ?

  • Quel sera concrètement le rôle de Yes We Hack ?

  • Quel avantage de passer par une solution externalisée ?

  • Aurez-vous accès à ces rapports ?

  • Vous êtes par définition amené à gérer des dossiers sensibles, mais avez-vous fait éprouver votre propre plateforme ?

Fermer