Sur Twitter, l'application de traçage de contacts StopCovid est en train de passer un mauvais quart d'heure, prise pour cible par des hackers et codeurs qui dévoilent les failles ou erreurs qu'ils pensent avoir trouvées dans le logiciel.
Tous les codeurs qui le souhaitent peuvent accéder au code source de l'application, dont "une bonne partie" a été mise en ligne, selon l'institut public de recherche en informatique Inria, maître d'oeuvre de la contestée application. Ils peuvent ainsi vérifier qu'elle fonctionne correctement et n'est pas détournée par ses promoteurs à des fins non avouées de surveillance.
Parallèlement, une petite trentaine de renommés chasseurs de primes du numérique ont commencé à attaquer l'application dans le cadre d'une campagne de recherche de vulnérabilités orchestrée par la société spécialisée Yes We Hack, à la demande de l'Inria et de l'agence publique Anssi, gardienne française de la sécurité des réseaux.
L'objectif de ces chercheurs de bugs: se mettre dans la peau d'un pirate informatique et trouver une vulnérabilité, en échange d'une prime pouvant aller jusqu'à 2.000 euros.
Pas si facile à hacker ?
Leur travail ne sera pas forcément facile, avertit Guillaume Vassault-Houlière, le patron de Yes We Hack. Ces pirates pour le bien "vont arriver sur une plateforme assez mature", qui a déjà bénéficié des recommandations de l'Anssi, rappelle-t-il à l'AFP.
Mais les chasseurs de primes "arrivent toujours à trouver des trucs, qui peuvent être bénins comme ils peuvent être très gros", explique-t-il. "Et pourtant, nous avons tout types de structures parmi nos clients, y compris des entreprises qui dépensent des millions d'euros ou de dollars en système de défense."
Déjà des bugs trouvés en quelques heures
Jeudi matin, quelques heures après le début de l'assaut des chasseurs de primes, le patron d'Orange Stéphane Richard s'est réjoui sur Europe 1 que "personne n'a réussi à craquer le système" de StopCovid.
Un peu vite peut-être: le hacker éthique Baptiste Robert, alias Elliot Alderson, l'un des chasseurs travaillant avec Yes We Hack, a aussitôt répliqué sur Twitter qu'il avait "ouvert 10 tickets hier soir au bug bounty de #StopCovid pour 10 problèmes + ou - grave". "Un des soucis, un des plus stupides, est de la faute directe des développeurs d’Orange", a-t-il accusé.
Une application 100% inviolable est impossible
D'une manière générale, les informaticiens jugent impossible de garantir qu'il n'y ait pas de bug ou de faille nichée dans un programme, quel qu'il soit. "Une application est développée par des humains" et donc "il y a des forcément des erreurs", souligne Arnaud Lemaire, directeur technique de F5 Networks, un spécialiste de la sécurisation des réseaux et des applications. En plus les programmeurs utilisent eux-même des "outils tout faits, des bouts de code tout faits accessibles dans des librairies qui, elles aussi, ont potentiellement des failles et des problèmes".
La vulnérabilité des applications est aussi renforcée par l'environnement de travail des développeurs, dont la mission est avant tout d'arriver à faire fonctionner un outil dans un certain délai - la sécurisation ne venant qu'ensuite. "Aujourd'hui ce qu’on demande aux développeurs, c'est de répondre à un cahier des charges et de respecter un délai", souligne Arnaud Lemaire.
Trouver une faille non dangereuse n'a pas de sens...
Pour Guillaume Vassault-Houlière, ce qui compte n'est pas seulement de trouver une erreur ou un bug, c'est aussi de bien évaluer sa dangerosité ou ses conséquences sur le fonctionnement de l'application: "Tout doit se qualifier en fonction des métiers de l'application."
Donc attention aux codeurs du dimanche, tout fiers d'avoir déniché une petite erreur de programmation dans StopCovid. "Il y en a beaucoup qui se prennent pour des hackers, qui font de la sécurité comme quand j'avais 15 ans... et j'en ai 37 aujourd'hui", ironise-t-il.
Vos commentaires