Decathlon éprouve sa sécurité par un bug bounty
Saisir les opportunités dans les difficultés
Obsolescences techniques, bouleversements réglementaires, pressions des fournisseurs, obligations en termes de responsabilité sociale et environnementale, cyber-attaques... Les problèmes qu'un DSI peut avoir à gérer sont nombreux. Il lui faut bien sûr résoudre les problèmes et réussir à surmonter...
DécouvrirDecathlon a fait tester son site e-commerce tunisien par des hackers éthiques dans le cadre d'un bug bounty avec YesWeHack lors du FIC. Farid Illikoud, RSSI groupe de Decathlon, revient sur cette expérience qui est le premier bug bounty public mené par le groupe.
PublicitéAvec 1750 magasins (dont 320 en France) dans 70 pays et un chiffre d'affaires de presque 14 milliards d'euros (un quart en France), Decathlon rassemble plus de 100 000 collaborateurs passionnés par le sport. Ce distributeur spécialisé, dont le siège est dans la métropole lilloise, est contrôlé par l'Association Familiale Mulliez (souvent improprement désignée comme « groupe Auchan ») et a logé dans une filiale dédiée, Decathlon Technology, son IT. Bien entendu, Decathlon possède des sites e-commerce. Et, évidemment, comme toutes les boutiques en ligne, ces sites e-commerce sont l'objet de cyber-attaques fréquentes. Leur sécurisation est donc cruciale. Plusieurs démarches sont menées à cette fin. Farid Illikoud, RSSI groupe de Decathlon, nous a expliqué l'intérêt du bug bounty et comment celui-ci vient s'insérer dans une démarche globale.
Les boutiques en ligne de Decathlon sont de deux types technologiques. Il y a d'une part des sites basés sur un développement propre réalisé en interne, d'autre part des implémentations de Prestashop, un progiciel open-source très courant. « Chaque pays choisit sa technologie et mène son implémentation mais nous avons un objectif d'uniformisation du parcours et de l'expérience client » précise Farid Illikoud. Dans le cas de la Tunisie, il s'agit d'un site basé sur Prestashop avec des personnalisations réalisées par une équipe interne de Decathlon située au Canada. Réalisé récemment, ce site a été choisi pour réaliser un bug bounty public à l'occasion du FIC (Forum international de la cybersécurité) qui a eu lieu à Lille du mardi 7 au jeudi 9 juin 2022. Pour le mener, Decathlon Technology s'est appuyé sur YesWeHack.
Une trentaine d'heures pour trouver sept failles avérées
Farid Illikoud précise : « nous menons des bugs bountys privés depuis deux ans avec YesWeHack mais, cette fois, nous avons voulu faire un bug bounty public. » YesWeHack propose, dans le cadre des bugs bountys privés, un ensemble d'une dizaine à une quinzaine de hackers éthiques, avec un roulement d'une opération à l'autre pour profiter d'une variété de compétences. Dans le cas d'un bug bounty public, le nombre de hackers éthiques est plus important : 85 pour celui-ci. Si Prestashop est un progiciel open-source très connu, courant et déjà bien sécurisé, l'implémentation elle-même est à tester, ainsi que des API de connexion au SI, la brique d'identification, etc.
Au total, le bug bounty du FIC a duré une trentaine d'heures à compter du mercredi 8 juin à 10h. Les hackers éthiques engagés dans le bug bounty ont remonté 26 suspicions de failles, 7 se sont révélées avérées. Les équipes sécurité, de développement et de production prennent à chaque fois contact avec le hacker faisant un signalement pour comprendre exactement de quoi il s'agit et vérifier si la faille est avérée. En ce cas, il faut bien comprendre le cheminement du potentiel pirate. « Chaque faille avérée a été trouvée par plusieurs hackers sans concertation » souligne Farid Illikoud. Cette concordance n'est pas une surprise et est même très fréquente dans un bug bounty.
PublicitéUne correction des failles au fur et à mesure
Les équipes DevSecOps de Decathlon étaient mobilisées sur le FIC durant le bug bounty. Farid Illikoud indique : « nos équipes ont un contrat de SLA interne qui prévoit des délais de correction pour les failles et, lors de ce bug bounty, les corrections ont été réalisées dans la foulée des signalements. Le principal problème d'un bug bounty, c'est de vérifier que les failles signalées sont avérées. » Comme pour tout bug bounty, le principe est celui d'une rémunération du découvreur d'une faille. En l'occurrence, les primes allaient de 500 euros à 5000 euros selon la criticité du problème relevé. La récompense moyenne sur ce bug bounty a été de 1100 euros. « YesWeHack sert d'intermédiaire dans tous les échanges et Decathlon n'a donc aucune information sur l'identité ou le profil des hackers éthiques » relève Farid Illikoud.
Comme il y a une récompense, l'objectif est de tester un environnement déjà sécurisé par des méthodes classiques. Pour Farid Illikoud, « il ne faut pas opposer l'audit et le bug bounty, les deux sont complémentaires. L'audit coûte beaucoup plus cher qu'un bug bounty mais on ne trouve pas les mêmes choses. » L'audit se passe en mode « white box », c'est à dire que l'auditeur a un accès complet au système, un compte pour ce faire et regarde en profondeur le code. A l'inverse, le bug bounty est en mode « black box », c'est à dire que personne ne sait ce que vont tenter les hackers et ceux-ci n'ont pas d'accès privilégié. Ils se comportent comme des pirates.
Audit et bug bounty sont complémentaires
Avant une mise en production, il va de soi que Decathlon réalise un audit, des tests de sécurité et des tests d'intrusion. Les audits sont réalisés par des entreprises spécialisées, avec deux ou trois consultants durant deux ou trois jours. Le bug bounty mobilise bien plus de personnes et permet donc des tests plus nombreux. « L'effet d'exposition amène bien plus de hackers et on trouve forcément plus de choses » se réjouit Farid Illikoud.
Mener l'audit puis un bug bounty permet de cumuler deux types de recherches de failles. L'audit doit bien sûr être réalisé en premier, pour éviter une multiplication de découvertes de failles à rémunérer. Le bug bounty va, lui, avoir une approche similaire à un vrai pirate et sanctionne donc l'effectivité de la sécurisation réalisée avec l'audit.
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire