Cybermalveillance.gouv.fr : « Il est inconcevable de ne pas recourir au Bug Bounty »

Cette plateforme met les victimes de cybercriminalité en relation avec 800 prestataires. À l’occasion du lancement de sa version 2, elle fait appel au Bug Bounty. Interview croisée de Jérôme Noutin, directeur général de Cybermalveillance.gouv.fr, et de Guillaume Vassault Houlière, PDG cofondateur de la plateforme de Bug Bounty YesWeHack.

Vous avez publié en janvier le bilan de vos actions durant vos deux premières années. Qu’en ressort-il ?

Jérôme Notin : Plus de 90 000 victimes ont reçu une assistance sur la plateforme en 2019 contre 28 855 en 2018. Soit une augmentation de 210 %! 90 % des victimes sont des particuliers. Chez les professionnels (entreprises, collectivités locales et associations), 23 % des recherches d’assistance ont porté sur l’hameçonnage (phishing) et le piratage de comptes (16 %). Chez les particuliers, elles ont concerné à 38 % le chantage à la webcam. Suivi du piratage de compte en ligne (14 %) et du hameçonnage (13 %).

Quelles tendances avez-vous identifiées ?

Jérôme Notin : L’hameçonnage reste la menace prédominante autant chez les particuliers que chez les professionnels. Les arnaques au faux support technique continuent aussi à faire des ravages. Quant aux rançongiciels, ils gagnent en sophistication et ciblent surtout les professionnels. Ce type d’attaque peut avoir des conséquences économiques désastreuses. Par ailleurs, le chantage à la webcam prétendue piratée est un phénomène qui a explosé. En 2019, ce type d’attaque a fait l’objet d’une part importante des recherches d’information et d’assistance.

Qu’en est-il de votre volet prévention ?

Jérôme Notin : Quinze alertes ont été publiées sur les réseaux sociaux. Dont huit sur des campagnes d’arnaques. Comme des faux bons d’achat Carrefour, des fausses campagnes de dons pour Notre-Dame… Sept alertes ont porté sur des failles de sécurité critiques. Nous avons mis en ligne 46 contenus : des fiches « réflexe », des infographies, des mémos, des vidéos, des articles… Et les Internautes ont téléchargé 37 660 kits de sensibilisation complets depuis leur publication le 13 juin 2019.

Avez-vous constaté une intensification de la menace avec le confinement ?

Jérôme Noutin : Oui. Mais nous ne sommes pas encore capables de faire des études exhaustives. Le 16 mars, nous avons publié un article sur les menaces liées au Covid-19 que nous anticipions. À savoir une explosion des campagnes de hameçonnage et de rançongiciels. En six semaines, il y a eu 205 000 consultations. La semaine suivante, nous avons publié les dix recommandations de base pour le télétravailleur et les 12 recommandations pour l’employeur. Aujourd’hui, nous avons 10 000 à 20 000 visiteurs uniques par jour !

Qu’en est-il de votre réseau de prestataires capables de venir en aide aux victimes dans leur région ?

Jérôme Notin : Avec la version 2 de notre plateforme, ce réseau comporte 800 prestataires. Soit deux fois moins qu’avec la plateforme précédente. En effet, nous avons complètement modifié l’approche de la mise en relation. Auparavant, nous affichions une cartographie avec tous les prestataires proches de la victime. Dans la V2, c’est la matrice qui contacte le prestataire pour lui demander s’il veut ou non traiter la demande. Dans l’espace de la victime, nous affichons alors les trois premiers prestataires disponibles qui attendent son appel. Notre organisation actuelle tient plus facilement à jour la base de données des prestataires. Surtout, ceux-ci savent forcément que les victimes qui les contactent viennent de chez nous. Ce véritable logiciel de mise en relation a réclamé d’intenses développements. L’objectif, c’est de suivre l’ensemble du parcours de la victime jusqu’à la clôture de l’incident.

Comment en êtes-vous venu à vous adresser à YesWeHack ?

Jérôme Noutin : Tout d’abord, j’en profite pour dire qu’un hacker n’est pas un pirate. C’est quelqu’un de bien qui modifie du code. Tandis que le pirate est malveillant, le hacker agit pour le bien commun. Ensuite, lorsque nous avons lancé la refonte du site fin 2018, nous avons imposé la méthodologie « Security by Design ». Laquelle se base sur le guide des bonnes pratiques de développement de l’ANSSI (¹). Or, parmi ces bonnes pratiques, il est inconcevable de ne pas faire recourir à une plateforme de Bug Bounty. D’autant que nous avons la chance d’avoir plusieurs pépites en France. Il fallait absolument faire une campagne avant d’ouvrir la nouvelle plateforme le 4 avril dernier.

Concrètement comment se passe ce partenariat ?

Guillaume Vassault Houlière : Dans les deux entités, nous sommes des professionnels de la cybersécurité. Chacune apporte sa pierre à l’édifice. Les équipes de Cybermalvaillance.gouv.fr connaissent bien le Bug Bounty. Cela permet d’affiner des règles de jeu, d’engagement, de primes, de périmètre. Dans le premier temps, en novembre et en janvier, ce programme s’est déroulé en mode privé avec une trentaine de chercheurs. Depuis ce 16 avril, nous l’ouvrons en mode public potentiellement à tous les 15 000 chasseurs inscrits sur YesWeHack. En fonction de la criticité des failles remontées, les récompenses s’étalent entre 50 à 1 500 euros.

Jusqu’ici, quelles ont été les découvertes ?

Jérôme Notin : Une quinzaine de vulnérabilités. Rien de critique… Mais quand même ! Cela confirme la nécessité de faire appel au Bug Bounty. Comme la plateforme a été développée par un prestataire, nous avons constaté avec plaisir que celui-ci avait bien suivi notre demande « Security by Design ». Le Bug Bounty est donc une réassurance. Surtout, les tests se font en continu. Ce qui est intéressant car notre plateforme évolue en permanence.

Erick Haehnsen

(¹) Agence nationale de la sécurité des systèmes d’information