Une équipe de 30 pirates informatiques met à l’épreuve la robustesse de l’application gouvernementale dans le cadre d’une opération dite de « bug bounty ».
L’application StopCovid qui doit permettre de détecter les personnes qui ont été mises en contact avec des individus porteurs du Covid-19 sera lancée, mardi 2 juin. Le Premier ministre l’a annoncé, jeudi, lors de son point d’étape sur les procédures de déconfinement. Le téléchargement de cette application ne sera pas obligatoire, mais simplement recommandé. C’était la condition sine qua nonpour que la Commission nationale de l’informatique et des libertés (Cnil) donne un avis favorable au déploiement de cette solution numérique, soulignant qu’« [elle] utilisera des données pseudonymisées, sans recours à la géolocalisation, et ne conduira pas à créer un fichier des personnes contaminées »…
Reste à convaincre les citoyens qu’en téléchargeant cette application, ils ne vont pas exposer leur téléphone portable à d’éventuelles cyberattaques. Pour se prémunir contre de possibles failles de sécurité, mais aussi pour éviter des bugs préjudiciables pour l’image du développeur : l’Institut national de recherche en informatique et en automatique (Inria), l’Agence nationale de sécurité des services d’information a donc préconisé « un audit de type “bug bounty” pour l’application StopCovid, actuellement développée sous forme d’un prototype […] en parallèle des audits et contrôles de sécurité réalisés par l’agence et ses partenaires, tout au long de la conception ».
Le terme de « bug bounty » désigne en français une « chasse aux bugs » d’un type un peu particulier. Cette méthode de traque des failles informatiques rémunère, en effet, ceux qui les identifient sous forme de prime. Ce qui encourage les hackeurs à signaler les vulnérabilités qu’ils repèrent dans l’écriture des codes plutôt que de les revendre sur le dark web.
Promue dès 1995 par le groupe Netscape notamment, la technique du « bug bounty » est aujourd’hui devenue banale aux États-Unis où tous les grands groupes promettent des récompenses aux pirates informatiques qui les contacteront pour leur permettre de renforcer leurs défenses. En France, c’est plus discrètement, jusqu’à présent, que les opérateurs recouraient à cette méthode. Les groupes Orange, Dailymotion et Qwant ont été les premiers à y avoir recours dans l’Hexagone. Ils ont vite été suivis par les administrations. Y compris le ministère des Armées !
