Présente sur le pavillon Bretagne du FIC 2023 à Lille, la team BZHunt s’est illustrée lors du live bug bounty organisé par YesWeHack durant les deux premiers jours du salon. Elle s’est imposée pour la troisième fois consécutive. Après Doctolib et Decathlon en 2021 et 2022, les hackers ont mis leurs talents au service des Jeux Olympiques de Paris 2024. Entretien avec Victor Louis Poucheret, cofondateur de BZHunt et fer de lance de l’équipe lors de cette compétition.
Tout d’abord, peux-tu nous rappeler ce qu’est un bug bounty ?
Un bug bounty rassemble des hackers éthiques sur un laps de temps défini. Ils sont invités par une entreprise pour trouver des vulnérabilités sur ses différentes plateformes numériques. En fonction de la vulnérabilité trouvée, de sa sévérité et de son acceptation par le client, le hacker peut être récompensé par des gratifications ou des avantages en nature. Un bug bounty peut être organisé à distance et rassembler beaucoup de hackers. Dans le cadre d’un live hacking event, une communauté plus restreinte peut y participer, soit sur invitation ou en se déplaçant. Lors de la compétition, chaque hacker qui décèle une vulnérabilité remporte des points. Plus sa sévérité est élevée, plus les points glanés le sont. Le classement final tient compte de tous ces éléments. Les entreprises profitent du bug bounty et des erreurs remontées pour ensuite corriger les bugs.
Retrouvez notre interview de Brice Augras, cofondateur de BZHunt, à l’occasion du FIC 2023 :
Qu’advient-il des erreurs remontées lors d’un bug bounty ?
L’un des objectifs lors d’un événement tel que celui-ci est d’éprouver tout ce qui a été construit et porté en amont par une entreprise d’un point de vue sécurité. Elle part du principe qu’elle est assez mature et solide pour exposer à une communauté de hackers d’un excellent niveau technique des vulnérabilités qui doivent être gérées 24h/24, 7 jours sur 7. En tant que hacker et hunter, nous donnons des préconisations techniques et organisationnelles pour corriger les problèmes, mais aussi prévenir l’apparition de problématiques similaires. Le client reste cependant libre de corriger ou non. Si la vulnérabilité est acceptée, nous considérons qu’il y a un niveau de risque. Nous n’avons en revanche pas toujours un suivi exhaustif. Généralement, nous avons un suivi à travers un rapport pour connaître l’état d’une vulnérabilité et savoir si elle a été patchée. En revanche, nous n’avons pas la main sur le calendrier de correction.
Quels étaient les objectifs du bug bounty organisé au FIC 2023 de Lille ?
À chaque édition du FIC, Yes We Hack organise le live hacking event. La communauté de hackers éthiques peut ainsi se retrouver sur un même lieu, sur le stand de Yes We Hack. Les jeunes hackers qui ne sont pas encore dans la communauté, qui découvrent la discipline ou qui n’osent pas participer peuvent se lancer. Cela permet aussi de découvrir de nouveaux talents.
Cette année, nous avons, durant les deux premières journées du FIC 2023, travaillé pour les JO de Paris 2024. Nous avons pu travailler sur un nombre déterminé de sites web.
Comment la compétition s’est articulée autour des Jeux Olympiques 2024 ?
L’écosystème digital des JO 2024 s’articule autour d’un domaine : paris2024.org. Autour de lui, il existe un ensemble de sites web connexes. L’un sert pour la gestion de la billetterie, un autre pour le recrutement de bénévoles, un autre pour permettre aux citoyens de déposer des projets. Ces sites peuvent contenir de la donnée sensible, comme des informations personnelles, par exemple. L’événement ayant une portée internationale avec parfois une dimension géopolitique, beaucoup d’enjeux de sécurité des données et de stratégie en découlent. Il est inenvisageable pour l’organisation de laisser des données relatives aux Jeux sans l’assurance qu’une couverture exhaustive de toutes les failles de sécurité potentielles a été réalisée. Ayant opéré sur deux jours seulement, nous nous sommes concentrés sur un certain nombre de sites et pas sur tout le périmètre. Au total quatorze anomalies ont été détectées pendant l’événement. À titre personnel, j’en ai remonté quatre.
Qu’est-ce que cela fait de travailler pour les Jeux Olympiques ?
Généralement, lors d’un bug bounty, nous avons la chance de travailler avec des clients très différents. Cela peut être des clients privés comme publics. Le gouvernement instaure de plus en plus des programmes de bug bounty liés aux services de l’Etat, comme TousAntiCovid ou des programmes gérés par le ministère de l’Intérieur. En tant que hacker et citoyen, nous avons l’occasion de travailler sur des services hautement sensibles et sur de la donnée hautement confidentielle. C’est ce qui est plutôt fun avec le bug bounty. À notre échelle, nous pouvons contribuer à des choses beaucoup plus grandes. C’est assez grisant d’être invité à travailler sur un tel événement. Nous finissons tout de même par nous y habituer. Quand nous travaillons pour une multinationale, il y a aussi des enjeux qui nous dépassent. D’une manière ou d’une autre, techniquement, cela reste la même chose avec les mêmes classes de vulnérabilité. Se dire que nous avons apporté notre pierre à l’organisation des JO, c’est assez grisant. Je pourrai dire à mes parents que j’y ai contribué à mon échelle.
En 2023, vous avez remporté le bug bounty du FIC pour la troisième fois en autant de participations. Vous allez devenir l’équipe à battre ?
C’est assez marrant de se dire que nous remportons le trophée pour la troisième fois d’affilée. La communauté française est très compétente. Les deux autres hunters qui partagent le podium avec moi sont très compétents. D’une année à une autre, cela peut basculer. Nous pouvons très bien ne rien trouver alors que la personne à côté, elle, peut performer.
Dès que nous travaillons sur des événements internationaux, cela nous fait plaisir de porter les couleurs de la France et de la Bretagne. Quand nous collaborons avec des hackers français, ça fait plaisir de planter le drapeau français. Nous rappelons aussi qu’en Bretagne il y a un savoir-faire et une concentration de talents pour la cyber et le hacking éthique.
Crédit photo : Jossuha Théophile.