No Banner to display

Bug Bounty : Veremes tire les leçons

| 28 mai 2018

Catégorie: A l'actu, Cartographie, Entreprises, Logiciels, WebMapping

Veremes a choisi de mettre son logiciel de Webmapping vMap à l’épreuve des hackers. Une première en géomatique que nous avions présentée ici. Retour d’expérience un an plus tard.

© Marco_Piunti pour GettyImages

© Marco_Piunti pour GettyImages

OVH, Qwant, Blablacar… les grandes entreprises font désormais appel à des hackers professionnels pour tester la robustesse de leurs logiciels et identifier des failles de sécurité. Grâce à la plateforme Bounty Factory, Veremes s’est plié à l’exercice en spécifiant le type de faiblesses recherchées. « Nous avons annoncé que nous mettrions les ressources à la disposition des hackers lors de notre dernière conférence utilisateurs, ce que nous avons fait, à minuit pile, rappelle Olivier Gayte, le président de Veremes. Mais nous n’étions pas au bureau et quasiment à la veille d’un week-end. Le lundi matin, le serveur n’était plus disponible et nous avions des piles de mails à traiter, arrivés en rafale dès minuit et quelques minutes. » Hé oui, les hackers sont réactifs, car seul le premier à identifier un bug sera récompensé. Ils disposent de robots qui leur permettent de tester différents types de faille, ils produisent des rapports détaillés mais pas toujours faciles à comprendre pour les développeurs, et exigent rapidement des réponses.

« Nous n’avions pas anticipé le temps que ça nous prendrait, car il faut répondre à tout le monde, reproduire les bugs, etc. complète Armand Bahi en charge de l’opération. Mais au final, 48 bugs ont été rapportés dont 14 acceptés, ce qui nous a coûté 3 700 euros, sans la commission de la plateforme. » Détournement de domaine, injection SQL, cross-site scripting, time based blind SQL… Six hackers principaux ont permis à Veremes d’améliorer la sécurité de son web SIG, « mais aucun n’a réussi à accéder à des données de type Majic, se félicite Olivier Gayte. La démarche a motivé les équipes et sera reproduite pour la nouvelle version de GDF. Mais cette fois, on lancera l’opération auprès des hackers qu’on a déjà identifié et quand on sera au bureau ! »

Print Friendly, PDF & Email

Tags:

Signaler un contenu

Les commentaires sont fermés

No Banner to display

No Banner to display