Les cybercriminels utilisent toujours de nouvelles méthodes pour attaquer les ordinateurs et les données de leurs victimes. Par conséquent, les experts en sécurité informatique de la Poste développent constamment de nouvelles méthodes pour améliorer la sécurité de son infrastructure informatique. Les programmes bug bounty constituent un moyen efficace de détecter et de corriger plus rapidement les failles de sécurité. Il s’agit de programmes dans lesquels des hackers sont invités à examiner les systèmes informatiques à la recherche de vulnérabilités et reçoivent une récompense pour chaque point faible identifié. À présent, la Poste va même encore plus loin en autorisant tout le monde à rechercher ses éventuelles failles de sécurité sans invitation.
En mai 2020, la Poste est devenue l’une des premières entreprises suisses à lancer un programme bug bounty continu, dans lequel des hackers sont invités à examiner certains systèmes informatiques pour y trouver des failles de sécurité. En contrepartie, ils reçoivent une récompense pour chaque vulnérabilité identifiée. L’objectif est d’améliorer ainsi la sécurité des services numériques de la Poste. Sur invitation, des hackers éthiques (ou «hunters») partent à la recherche de failles de sécurité. Pour chaque vulnérabilité identifiée, ils reçoivent une récompense («bounty»). Marcel Zumbühl, Chief Information Security Officer de la Poste, est convaincu que le programme bug bounty est un complément optimal aux tests de sécurité existants: «La sécurité est un processus, pas un état de fait. Le programme bug bounty nous permet de renforcer notre sécurité de l’information. De plus, nous pouvons utiliser les connaissances collectives de la communauté internationale de hackers pour améliorer davantage nos processus de sécurité.» Lorsqu’un hacker identifie une vulnérabilité, la Poste prend des mesures pour éliminer la faille de sécurité. Les spécialistes de la Poste vérifient également si la vulnérabilité identifiée a un impact potentiel sur d’autres applications. Par exemple, si une possibilité de manipulation est découverte, il faut vérifier si elle s’applique également à d’autres prestations. Si tel est le cas, la Poste élimine aussi les failles de sécurité qui en découlent. «Depuis le début du programme, nous avons déjà identifié 500 vulnérabilités et versé environ CHF 250’000.– de récompenses», se réjouit Marcel Zumbühl. «On ne peut qu’apprendre de ses erreurs et s’améliorer en conséquence», ajoute le Chief Information Security Officer.
Lancement d’un programme bug bounty public pour une sélection de services À présent, la Poste va encore plus loin. Jusqu’ici, le programme se déroulait exclusivement dans un cadre privé. Autrement dit, les hackers n’étaient autorisés à rechercher des vulnérabilités que sur invitation, et eux seuls avaient accès au programme bug bounty. Or, désormais, tous les utilisateurs inscrits sur la plateforme bug bounty de YesWeHack ont la possibilité de rechercher des failles de sécurité par le biais de celle-ci. Le montant des récompenses, autrement dit la prime versée à chaque faille de sécurité confirmée, dépend du degré de criticité de la vulnérabilité en question. Les «bounties» peuvent s’élever entre 50 et 10’000 francs. Dans un premier temps, le programme bug bounty public portera sur les prestations suivantes, qui d’ores et déjà été améliorées dans le cadre du programme bug bounty privé: le login client Poste, le Postshop, la Post-App, le service de bike sharing PubliBike ainsi que d’autres services en ligne tels que WebStamp, Mes envois, la Gestion des adresses, les services aux destinataires et le service de paiement Billing Online.
«Nous cherchons continuellement à inclure d’autres prestations dans le programme bug bounty privé, dans l’optique de les intégrer également au programme public par la suite», explique Marcel Zumbühl.
Pour toute information complémentaire au sujet du programme bug bounty , rendez-vous sur poste.ch/bug-bounty ou lisez le dernier article publié sur poste.ch/actualites.
Cadre juridique
Le piratage de systèmes informatiques est considéré comme une infraction pénale en Suisse. C’est pourquoi la Poste a dû, dans un premier temps, collaborer avec la Confédération et les cantons pour créer un cadre juridique qui protège les hackers éthiques contre les poursuites pénales. Ceci a donné lieu à une «sphère de sécurité juridique» qui dépénalise les hackers dans un cadre clairement défini. En retour, la Poste reçoit des informations sur le mode opératoire des hackers. Cette situation lui permet d’acquérir de nouvelles connaissances et de prendre des mesures si nécessaire.
Description simplifiée des termes clés liés au bug bounty
Bug: vulnérabilité ou faille de sécurité dans un système informatique.
Bounty: somme d’argent versée à titre de récompense lorsqu’une personne identifie et signale une vulnérabilité.
Programme bug bounty: programme dans le cadre duquel des hackers sont invités à examiner certains systèmes informatiques pour y déceler des failles de sécurité. En contrepartie, ils reçoivent une récompense («bounty») pour chaque vulnérabilité identifiée.
Hunter: un chercheur en sécurité ou un hacker éthique qui recherche des vulnérabilités dans le cadre de programmes bug bounty.
Hacker éthique: un hacker étique («white hat») est un expert en sécurité hautement spécialisé qui attaque les systèmes informatiques pour le compte de leur propriétaire. Il recherche les vulnérabilités pouvant être exploitées par des cybercriminels aux intentions malveillantes et les signale au propriétaire.
Cybercriminel: hacker malveillant («black hat») qui exploite les failles de sécurité des systèmes informatiques à des fins malveillantes et illégales.
Test de pénétration / d’intrusion: forme de test dans laquelle des experts en sécurité informatique testent de manière exhaustive les surfaces d’attaque d’une application et déterminent s’ils peuvent y déceler des vulnérabilités.
Sphère de sécurité juridique: cadre juridique pour le programme bug bounty qui décriminalise les hackers éthiques.
Vulnerability Disclosure Policy (VDP):
Si des hackers identifient des vulnérabilités dans des prestations numériques de la Poste qui ne font pas partie du programme bug bounty, celles-ci peuvent être signalées par le biais du programme VDP. Toutefois, aucune récompense ne sera versée. Vers le programme VDP.
