La Poste Suisse lance un programme de Bug Bounty public
La Poste Suisse ouvre son programme de primes aux bugs. Alors que jusqu'à présent, les hackers n’étaient autorisés à rechercher des vulnérabilités que sur invitation, tout le monde peut désormais prendre part à la chasse. La Poste versera jusqu'à 10’000 francs suisses pour toute faille de sécurité découverte.
Tout le monde peut maintenant tenter de pirater les applications et sites de la Poste suisse. Le géant jaune annonce en effet lancer un programme public de Bug Bounty via la plateforme de hackers éthiques Yeswehack. Tous les membres de cette dernière peuvent participer à la recherche de vulnérabilités. Jusqu'à présent, la chasse aux bugs dans les services numériques de la Poste se déroulait dans un cadre privé, sous invitation.
Selon le communiqué, les applications et services suivants peuvent dans un premier temps être le terrain d’une chasse aux bugs via Yeswehack: le login client Poste, le Postshop, la Post-App, le service de bike sharing PubliBike ainsi que d’autres services en ligne tels que WebStamp, Mes envois, la Gestion des adresses, les services aux destinataires et le service de paiement Billing Online. De nouveaux services au programme de Bug Bounty seront constamment ajoutés, précise La Poste.
Quiconque trouvera une vulnérabilité sera récompensé selon la criticité de la faille découverte. Les primes promises s’élèvent entre 50 et 10’000 francs, indique l’entreprise, avant de préciser avoir déjà versé environ 250’000 francs dans le cadre des programmes de bug bounty privés (pour 500 vulnérabilités identifiées).
La Poste suisse avait lancé pour la première fois un test d’intrusion public pour éprouver son système de vote électronique, début 2019. Des failles critiques avaient alors été découvertes, entraînant la suspension de l’emploi du système. Plus récemment, le géant jaune a publier sur GitLab le protocole cryptographique de son nouveau système d’e-voting en développement, afin que les experts puissent librement l’examiner.
La Poste n'est pas la seule firme suisse à s'appuyer sur la communauté pour trouver des vulnérabilités. L’administration fédérale l'expérimente également et TX Group a par exemple lancé un programme pour «20 minutes». Cette approche issue des fleurons de la Silicon Valley a toujours plus le vent en poupe et s'avère de plus en plus rémunératrice pour les hackers éthiques les plus doués.