«La même base de données MongoDB est utilisée pour tous les clients!»: sur Twitter, l’application de traçage de contacts StopCovid est en train de passer un mauvais quart d’heure, prise pour cible par des hackers et codeurs qui dévoilent les failles ou erreurs qu’ils pensent avoir trouvées dans le logiciel. Tous les codeurs qui le souhaitent peuvent accéder au code source de l’application, dont «une bonne partie» a été mise en ligne, selon l’institut public de recherche en informatique Inria, maître d’oeuvre de la contestée application. Ils peuvent ainsi vérifier qu’elle fonctionne correctement et n’est pas détournée par ses promoteurs à des fins non avouées de surveillance. Parallèlement, une petite trentaine de renommés chasseurs de primes du numérique ont commencé à attaquer l’application dans le cadre d’une campagne de recherche de vulnérabilités orchestrée par la société spécialisée Yes We Hack, à la demande de l’Inria et de l’agence publique Anssi, gardienne française de la sécurité des réseaux. L’objectif de ces chercheurs de bugs: se mettre dans la peau d’un pirate informatique et trouver une vulnérabilité, en échange d’une prime pouvant aller jusqu’à 2.000 euros. Leur travail ne sera pas forcément facile, avertit Guillaume Vassault-Houlière, le patron de Yes We Hack.Ces pirates pour le bien «vont arriver sur une plateforme assez mature», qui a déjà bénéficié des recommandations de l’Anssi, rappelle-t-il. Mais les chasseurs de primes «arrivent toujours à trouver des trucs, qui peuvent être bénins comme ils peuvent être très gros», explique-t-il. «Et pourtant, nous avons tout types de structures parmi nos clients, y compris des entreprises qui dépensent des millions d’euros ou de dollars en système de défense».Jeudi matin, quelques heures après le début de l’assaut des chasseurs de primes, le patron d’Orange Stéphane Richard s’est réjoui sur Europe 1 que «personne n’a réussi à craquer le système» de StopCovid. Un peu vite peut-être: le hacker éthique Baptiste Robert, alias Elliot Alderson, l’un des chasseurs travaillant avec Yes We Hack, a aussitôt répliqué sur Twitter qu’il avait «ouvert 10 tickets hier soir au bug bounty de #StopCovid pour 10 problèmes + ou – grave». «Un des soucis, un des plus stupides, est de la faute directe des développeurs d’Orange», a-t-il accusé. D’une manière générale, les informaticiens jugent impossible de garantir qu’il n’y ait pas de bug ou de faille nichée dans un programme, quel qu’il soit. «Une application est développée par des humains» et donc «il y a des forcément des erreurs», souligne Arnaud Lemaire, directeur technique de F5 Networks, un spécialiste de la sécurisation des réseaux et des applications. En plus les programmeurs utilisent eux-même des «outils tout faits, des bouts de code tout faits accessibles dans des librairies qui, elles aussi, ont potentiellement des failles et des problèmes». La vulnérabilité des applications est aussi renforcée par l’environnement de travail des développeurs, dont la mission est avant tout d’arriver à faire fonctionner un outil dans un certain délai – la sécurisation ne venant qu’ensuite. «Aujourd’hui ce qu’on demande aux développeurs, c’est de répondre à un cahier des charges et de respecter un délai», souligne Arnaud Lemaire. Pour Guillaume Vassault-Houlière, ce qui compte n’est pas seulement de trouver une erreur ou un bug, c’est aussi de bien évaluer sa dangerosité ou ses conséquences sur le fonctionnement de l’application: «Tout doit se qualifier en fonction des métiers de l’application».
