L’application de traçage de contacts contre le coronavirus StopCovid va subir à partir de mercredi les assauts de chasseurs de primes du numérique, récompensés lorsqu’ils trouvent une faille dans les logiciels qui leur sont soumis. La campagne de recherche de vulnérabilités sera menée par Yes We Hack, une société française qui travaille avec environ 15.000 «hackers éthiques» en France et hors de France, ont indiqué l’Anssi (agence nationale de la sécurité des systèmes d’information) et Yes We Hack. «Pour l’Anssi, la sécurité de l’application doit être assurée par le cumul de plusieurs procédés», dont ce type de campagne qui offre des capacités de recherches de bugs et de vulnérabilités démultipliées, a indiqué Guillaume Poupard, le directeur général de l’Agence, dans un communiqué. Yes We Hack propose une couverture juridique aux hackers éthiques qui attaquent l’application, et leur verse les primes lorsqu’ils trouvent une faille. Yes We Hack avait déjà été choisie par l’Etat pour rechercher les failles de Tchap, la messagerie sécurisée pour les agents de l’Etat. Elle a aussi travaillé avec le ministère de la Défense et Cybermalveillance.gouv.fr , la plateforme publique de conseil en cybersécurité pour les particuliers et les petites entreprises. StopCovid est une application pour smartphone participant à l’effort contre un retour du coronavirus. Ses utilisateurs seront avertis s’ils ont croisé (à moins d’un mètre, pendant au moins 15’ un autre utilisateur de l’application ayant le coronavirus. Une partie des nombreuses critiques faites sur StopCovid portent sur les risques de détournement du système à des fins criminelles. Assurer une très bonne sécurité de l’application est donc une nécessité absolue pour ses promoteurs. Yes We Hack a précisé qu’elle prendrait à sa charge le montant des primes versées aux codeurs, puisque l’application a été développée «à titre gracieux par l’ensemble des intervenants» sur le dossier. «Les primes s’élèveront à 2.000 euros pour les failles les plus critiques», selon un représentant de la société. La recherche de faille se déroulera en deux phases. Entre mercredi et le lancement public de l’application, elle sera confiée à une vingtaine de hackers éthiques affiliés à Yes We Hack. A partir du lancement public de l’application, prévu autour du 2 juin, l’ensemble des 15.000 contributeurs de la société pourra participer.
