StopCovid : comment des "hackers éthiques" aident à sécuriser l'application

, modifié à
  • A
  • A
L'application StopCovid doit aider à lutter contre l'épidémie de coronavirus. Photo d'illustration. 7:52
L'application StopCovid doit aider à lutter contre l'épidémie de coronavirus. Photo d'illustration. © Pixabay
Partagez sur :
Pour assurer une sécurité totale, des hackers missionnés par les autorités sont chargés de tenter de pirater StopCovid, afin de détecter de potentielles failles, puis de les combler. "Notre travail est de trouver des vulnérabilités et de sécuriser au maximum", explique à Europe 1 Guillaume Vassault-Houlière, PDG de Yes We Hack. 
INTERVIEW

Leur activité est peu connue du grand public. Alors que le Parlement doit voter mercredi pour ou contre la mise en place de StopCovid - l'application controversée pour smartphone censée aider à lutter contre l'épidémie de coronaviru -s,  de nombreux experts s'attellent en coulisses à tester la sécurité du dispositif, en trouvant d'éventuelles failles. Parmi eux, des chasseurs de primes du numérique. Invité mercredi d'Europe 1, Guillaume Vassault-Houlière, PDG de Yes We Hack, société française en charge d'identifier ces potentielles failles, nous en dit plus sur l'activité de ces "hackers éthiques". 

Dès mercredi, StopCovid doit subir les assauts de ces chasseurs de primes, récompensés lorsqu'ils trouvent une faille dans les logiciels qui leur sont soumis. Pour StopCovid, la campagne de recherche de vulnérabilités est donc menée par Yes We Hack, qui travaille avec environ 15.000 hackers en France et hors de France, ont indiqué l'Anssi (agence nationale de la sécurité des systèmes d'information) et la société. 

Des primes à la faille

"Notre travail est de trouver des vulnérabilités et de sécuriser au maximum", confirme Guillaume Vassault-Houlière, qui rappelle que pour un dispositif comme StopCovid, les risques peuvent être "des menaces d'ingérence, des menaces sur l'intégrité des données, des générations de QR codes falsifiés, voire potentiellement une prise de contrôle totale de l'infrastructure avec exfiltration des données". 

Les 15.000 hackers collaborant avec Yes We Hack autour du monde travaillent notamment pour une "prime à la faille". "Notre but est de définir des périmètres de tests en fonction de l'analyse de risques faite en amont par nos clients", en l’occurrence, dans ce cas précis, l'Anssi, explique Guillaume Vassault-Houlière. "Et le premier hacker de la communauté qui trouve une faille reçoit une prime, en fonction de sa sévérité". Dans le cadre des tests sur StopCovid, "les primes s'élèveront à 2.000 euros pour les failles les plus critiques", a précisé un représentant de la société à l'AFP. 

"On a un cahier des charges qu'on a défini avec les acteurs du projet", poursuit-il. "On va tester par exemple l'indisponibilité de l'applicatif dans le cadre d'une attaque malveillante, jusqu'à la prise de contrôle totale de l'infrastructure". 

"On oeuvre tous les jours pour sécuriser les applications que vous utilisez"

Derrière leur ordinateur, les "hackers éthiques" tentent de "se mettre dans la peau de quelqu'un de malveillant", et vont "définir des scénarios malveillants et essayer de les exploiter" sur l'application et les serveurs. Si le terme de "hacker" est souvent l'objet de beaucoup de fantasmes, à l'origine, un hacker "oeuvre toujours pour le bien commun", rappelle Guillaume Vassault-Houlière, décrivant ses équipes comme "des passionnés qui aiment le challenge".

"On oeuvre tous les jours pour sécuriser les applications que vous utilisez", assure encore l'invité d'Europe 1, des applications de banques et d'assurances à celles de compagnies aériennes, en passant par des plateformes de vidéos ou de musique très connues.

Europe 1
Par Antoine Terrel