Bug Bounty
Louis Vuitton teste ses sites web à l’approche des JO
Pour la première fois de son histoire, la filiale de LVMH a organisé un bug bounty en direct avec Yeswehack. Selon l’équipe chargée de la cyber, les résultats sont satisfaisants.
Sur le luxueux siège parisien de la marque de luxe, l’équipe IT a organisé pour la première fois un bug bounty en direct. Les participants, 37 chercheurs de bugs, avaient été sélectionnés par Yeswehack parmi les meilleurs dans une logique semi publique. « L’objectif était double, insiste Christophe Plouseau, DSI de
Louis Vuitton. Outre le bug bounty, de nombreux ateliers étaient destinés à sensibiliser les équipes présentes du siège. » Ces ateliers ludiques illustraient par exemple les risques liés à l’exposition sur Internet, au phishing… « Mettre en place un haut de sécurité ne sert à rien si les collaborateurs laissent les mots de passe sur des post- it… » , ajoute le DSI. Un risque d’autant plus important que les métiers des collaborateurs présents sur le siège est rarement technique et que la cyber n’est pas leur priorité. Le pari semble réussi. Au bout de deux jours, 400 collaborateurs avaient participé aux ateliers.
Le but central de ce bug bounty était bien sûr de tester la robustesse des plateformes de la marque exposées sur Internet, « pas sur les plateformes mobiles. Nous les testons également, mais elles n’étaient pas incluses dans le périmètre dans ce cas » , décrit le RSSI, Xavier Leschaeve. Si les JO ajoutent un peu de pression, « nous avons récemment constaté quelques attaques de type deni de services sans être certain de pouvoir les attribuer à la proximité des JO » , indique Christophe Plouseau, tester la cybersécurité fait partie des processus IT chez Louis Vuitton depuis plusieurs années. Cette édition était en réalité la troisième de bug bounty, les deux premières avaient été privées et réservées à des chercheurs sélectionnés par l’entreprise. « Cette édition se veut être un accélérateur pour découvrir les vulnérabilités, souligne Xavier Leschaeve. Si des centaines de chercheurs ont déjà travaillé en tant que hackers éthiques pour nous, ils ne le font bien sûr qu’à temps partiel. »
Pour attirer les meilleurs hackers éthiques, Louis Vuitton a également joué sur la corde sensible. Si la marque de luxe refuse de préciser le montant attribué en cas de découverte de faille, elle souligne qu’il est notablement plus important que ceux attribués habituellement. Enfin, « le bug bounty doit être pensé comme un processus progressif. Si la partie du SI attaquée n’est pas suffisamment bien protégée, les hackeurs éthiques identifient très vite les failles. Et vident la ‘ wallet’ des récompenses dans un temps record. » , explique Xavier Leschaeve. Dans la même logique, s’ils sont trop nombreux à découvrir des failles trop évidentes, et donc sans empocher de « récompense » , ils seront moins motivés à participer aux prochaines éditions. Pour maîtriser ce risque, l’équipe chargée de la sécurité avait également lancé en complément depuis quelques années plusieurs Pentest. Ces derniers sont basés sur une approche plus large, plus holistique à l’instar d’un audit, ce qui permet d’améliorer la cybersécurité des SI. « Par exemple, ils permettent de repérer que la version d’un serveur Apache est en clair. Ce qui n’est pas une faille en soi, mais peut être utilisée par des hackers » , détaille Xavier Leschaeve.
Pendant ce hackaton, une fois une faille repérée, les chercheurs produisaient un rapport détaillé, envoyé à un spécialiste de Yeswehack sur site. Celui- ci hiérarchisait la faille en termes de criticité et partageait le rapport et son évaluation avec des équipes de Louis Vuitton chargées de la corriger dans un temps dépendant de sa criticité. À l’issue de l’évènement d’une durée de 36 heures, 133 failles et vulnérabilités ont été découvertes par les 37 chercheurs. Les responsables de la cyber sont relativement satisfaits de ce chiffre, qui correspond à l’ordre de grandeur attendu. Il monte souvent à plusieurs centaines dans ce type d’évènement. L’équipe ne précisera pas le pourcentage des critiques, « qui sont bien sûr prises en compte très rapidement » , souligne Xavier Leschaeve. Outre la correction des vulnérabilités, les résultats facilitent l’intégration de la sécurité by design dans les développements à venir.