Deutsche Post, la poste allemande, a lancé la « Security Cup », un concours pour les experts de la sécurité informatique à qui l'entreprise demande de trouver des failles dans son service de messagerie sécurisée E-Postbrief.
La démarche rappelle celle de Google (sur son navigateur Chrome), Mozilla (sur Firefox) et quelques autres communautés du logiciel libre, qui ont pris l'habitude de récompenser financièrement les défauts de sécurité dans leurs produits. Mais il s'agit, à ma connaissance, d'une première pour un service commercial.
Naturellement, les règles du jeu sont un peu différentes de ces exemples : les équipes admises à participer seront pré-sélectionnées et devront prendre quelques engagements éthiques. De plus elles n'auront pas accès aux sources de l'application et ne pourront donc identifier des failles qu'à travers les services accessibles publiquement. Les participants acceptés recevront 3 000 euros et chaque anomalie trouvée donnera droit à un prix de 1 000 ou 5 000 euros selon sa criticité.
Il reste à voir si les « hackers » vont se laisser séduire par ce concours mais l'approche de Deutsche Post constitue une intéressante mesure de sécurité complémentaire aux classiques audits et tests de pénétration. Elle ne peut avoir que des effets bénéfiques, pour un coût finalement raisonnable (faible si peu de failles sont trouvées et très rentable dans le cas contraire). Une inspiration pour les sites de banque en ligne ?
La démarche rappelle celle de Google (sur son navigateur Chrome), Mozilla (sur Firefox) et quelques autres communautés du logiciel libre, qui ont pris l'habitude de récompenser financièrement les défauts de sécurité dans leurs produits. Mais il s'agit, à ma connaissance, d'une première pour un service commercial.
Naturellement, les règles du jeu sont un peu différentes de ces exemples : les équipes admises à participer seront pré-sélectionnées et devront prendre quelques engagements éthiques. De plus elles n'auront pas accès aux sources de l'application et ne pourront donc identifier des failles qu'à travers les services accessibles publiquement. Les participants acceptés recevront 3 000 euros et chaque anomalie trouvée donnera droit à un prix de 1 000 ou 5 000 euros selon sa criticité.
Il reste à voir si les « hackers » vont se laisser séduire par ce concours mais l'approche de Deutsche Post constitue une intéressante mesure de sécurité complémentaire aux classiques audits et tests de pénétration. Elle ne peut avoir que des effets bénéfiques, pour un coût finalement raisonnable (faible si peu de failles sont trouvées et très rentable dans le cas contraire). Une inspiration pour les sites de banque en ligne ?
Aucun commentaire:
Enregistrer un commentaire
Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)