BlaBlaCar a lancé au mois de septembre 2017 un programme de bug bounty privé. Avec l’aide d’experts, il lui a été possible de rester constamment à jour sur sa cybersécurité et ainsi offrir une qualité de service optimale à ses utilisateurs. À présent, ce programme est ouvert au public et marque un changement de mentalité en France sur ce genre d’approches.
Un programme de bug bounty est un système qui permet à une personne ayant identifié une faille dans un service d’être rémunérée pour sa trouvaille. La mise en place de ces programmes est quasiment systématique aux États-Unis et dans d’autres pays. Elle permet de mettre à jour des failles et de les corriger afin d’éviter un scandale de fuite de données, ou de mise hors service de son application. C’est par ces programmes qu’un jeune finlandais de 10 ans avait perçu 10 000 dollars pour avoir identifié un bug sur Instagram. D’une manière générale, les sommes sont variables en fonction de l’importance du danger mis en lumière. Suite au scandale de Cambridge Analytica, Facebook a étendu son programme aux abus d’utilisation de données personnelles.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Dans d’autres pays dont la France, les intrusions « altruistes » sont souvent très mal perçues et appréhendées. Il est donc très intéressant et important de voir une société comme BlaBlaCar aller dans le sens. La licorne française utilise la plateforme de YesWeHack, à l’initiative d’Alain Tiemblo, Web Security Lead Engineer de BlaBlaCar.
« Nous n’avons rien préparé spécifiquement et la phase privée nous a bien rodés. On s’attend à avoir beaucoup plus de rapports et on espère avoir un faible ratio de positifs sur les premières semaines. En termes de communication, nous avons été vraiment satisfaits de la qualité des échanges avec les chasseurs de failles pendant la phase privée et tout logiquement on s’attend à cette même qualité de service en passant en public, » a déclaré Alain Tiemblo dans un article sur le blog de YesWeHack.
La récompense minimale pour le programme de BlaBlacar s’élève à 50€. Ainsi, toute identification pourra être prise en compte.
D’autres grandes entreprises comme OVH proposent également ce type de programme, mais le bug bounty en France est encore une pratique qui est peu répandue. Alors que les fuites de données sont constatées tous les jours, il est plus qu’important que les mentalités en sein des entreprises françaises évoluent dans ce sens. Car, ne l’oublions pas, les hackers (grey hat) sont le système immunitaire d’Internet.