Cela est organisé conformément aux recommandations qu’avait adressées l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Ce bug bounty permettra de « garantir la fiabilité de l'application, grâce à la mobilisation d'une communauté d'experts indépendants en cybersécurité » indique un communiqué de l’agence.
« L’ANSSI a conseillé à Inria, un audit de type bug bounty pour l’application StopCovid, actuellement développée sous forme d'un prototype en amont de toute décision politique, en parallèle des audits et contrôles de sécurité réalisés par l’agence et ses partenaires, tout au long de la conception ». C’est la communauté YesWeHack qui s’y lance à compter du 27 mai.
« En cas de découverte d’une vulnérabilité par la communauté, l’équipe projet StopCovid sera ainsi en mesure de procéder à la correction des bugs critiques pour le bon fonctionnement et la sécurité de l'application ».
« Pour l’ANSSI, la sécurité de l’application doit être assurée par le cumul de plusieurs procédés. L’aide à la conception sécurisée puis l'audit de l’application réalisé par nos experts, doivent être complétés par le contrôle du code publié en open-source par la communauté numérique et par l’organisation de recherches de failles informatiques, de types bug bounty », explique Guillaume Poupard, directeur général de l’ANSSI.
Les retours des contributeurs « seront publiés sur le site YesWeHack et déversés sur le GitLab Inria StopCovid, où le code source sera accessible à tous ceux qui souhaitent le consulter ».
Commentaires (16)
#1
Alors qu’il suffirait de ne pas installer StopCovid :)
#2
Et en plus même si on l’installait, elle ne servirai que temporairement. Pourquoi se casser la nenette à chercher des failles ?
#3
On va pas cracher dans la soupe, l’anssi est pas là pour décider de l’utilité du truc.
C’est top ils font les choses bien avec un bug bounty, par contre je ne vois pas de récompenses, peu mieux faire ;)
#4
C’est comme pour VLC, autant ne pas l’installer plutôt qu’avoir un bug bounty soutenu par l’UE.
#5
Différence importante (‘fin, je pense qu’elle l’est) : VLC fait le boulot qu’on lui demande de faire (lire des fichiers multimédia) alors que pour StopCovid (qui doit tracer les contacts proches et prolongés), rien n’est moins sûr.
#6
Quel est le problème avec ça ?
#7
C’est intéressant, dans le même Brief on a en haut :
Cédric O :
l’application est techniquement opérationnelle et les tests sont conclusifs
Et ici on parle du lancement d’un bug bounty.
#8
#9
VLC a une utilité reconnue et respecte les libertés individuelles. StopCovid, ni l’un, ni l’autre.
#10
Des bracelets électroniques In Gates We Trust sont à remporter.
#11
SI stopCovid fonctionne, elle aura une utilité très grande aussi.
#12
Je ne vois pas le bug bounty sur Yeswehack : est-ce que quelqu’un a l’url exacte s’il vous plait ?
#13
#14
> mais son absence de respect des libertés individuelles aussi.
C’est une appli de tracking qui permet de savoir qui a été infecté, de façon assez simple.
Quand à l’analyse de la CNIL, elle se base sur le fait que le serveur central reste totalement 100% sécurisé…
#15
#16
Je suis prudent sur ce genre d’application également mais pour le coup, le protocole, l’architecture me semble bien pensé. Dans le pire des cas (imaginons une back-door sur le serveur central) et bien je ne vois pas ce que l’on peut faire sincèrement !
Ici on trouve le code source : Gitlab de l’INRIA
Et, encore plus intéressant, le protocole/serveur ROBERT : Doc
Que l’on soit bien d’accord aucun système n’est invulnérable et sûr a 100% ils ont donc conçu un système qui ne permette pas les detournements.
Après la grande question, c’est est-ce que cette application sera utile (et va-t-elle tenir le coup ?) ?