Piratage de Contentful

Introduction

C’est un fait : tout grand code source contient forcément des bugs. Au fil des années, de nombreuses estimations ont été faites sur la relation entre le nombre de lignes de code et le nombre de bugs qu’elles contiennent. Une estimation fréquemment citée provient de Steve McConnell et de son livre Code Complete où il écrit que la moyenne de l’industrie est « d’environ 15 à 50 erreurs pour 1 000 lignes de code livré ».

Mais quel que soit le rapport entre les lignes de code et les erreurs, certaines de ces incohérences réduiront malheureusement le niveau de sécurité du système exécutant le code.

Étant donné que la sécurité est une question sérieuse pour Contentful, nous utilisons un programme de primes aux bugs dans le cadre de nos efforts pour fournir des services sécurisés et de haute qualité à nos clients.

Qu’est-ce qu’un programme de primes aux bugs ?

Un programme de prime aux bugs est un moyen pour les entreprises de récompenser financièrement les hackers et les chercheurs en sécurité qui signalent de manière responsable des vulnérabilités. Le rapport contient généralement une description technique de la façon dont la vulnérabilité a été découverte, afin que le destinataire puisse vérifier l’exactitude du rapport. Le rapporteur s’engage également à garder la vulnérabilité découverte secrète du grand public jusqu’à ce que le fournisseur ait eu le temps de la corriger. Dans la plupart des programmes de primes aux bugs, il existe une relation étroite entre la gravité de la vulnérabilité découverte et le montant versé à la personne qui l’a signalée.

Programme de primes aux bugs vs. tests de pénétration réguliers

Les tests de pénétration traditionnels sont un moyen éprouvé de trouver et de signaler les vulnérabilités. Cependant, un inconvénient potentiel est que les tests de pénétration classiques sont souvent réalisés sur une période limitée, par un petit nombre de testeurs de pénétration opérant dans un périmètre strictement défini. Avec un programme de prime aux bugs permanent, vous bénéficiez au contraire d’un test de pénétration continu, susceptible d’attirer l’attention d’un plus grand nombre de personnes hautement qualifiées. Et travailler avec un groupe d’individus aussi diversifié signifie également que vous avez accès à une grande variété d’esprits créatifs.

#ItTakesACrowd

Contentful travaille avec Bugcrowd depuis plus d’un an. En plus d’avoir accès à un grand nombre de testeurs soucieux de la sécurité, la principale raison d’utiliser Bugcrowd était de mieux coordonner les rapports de sécurité entrants. Et, leurs services de triage et de validation fonctionnent incroyablement bien. Par le passé, les vulnérabilités potentielles étaient signalées à Contentful en envoyant un message à notre personnel d’assistance. Maintenant que nous utilisons un programme de primes aux bugs géré en continu, notre personnel d’assistance n’aura pas à se soucier d’essayer de déchiffrer les descriptions de vulnérabilités ou d’essayer d’interpréter des exemples de preuve de concept. Au lieu de cela, les rapports finissent directement là où ils doivent être, entre les mains de nos experts en sécurité.

Un flux de travail typique

Après avoir reçu un rapport sur un problème de sécurité potentiel, nous essayons de vérifier rapidement son exactitude et son impact potentiel. Pour ce faire, nous vérifions si la vulnérabilité suggérée a déjà été signalée et si nous pouvons reproduire la faille de sécurité potentielle telle que décrite par le rapporteur. À ce stade, l’utilisation d’un programme de primes aux bugs a deux objectifs :

  1. Le rapporteur reçoit une confirmation indiquant que la découverte est bien un problème de sécurité.

  2. Le rapporteur sait maintenant que nous travaillons à résoudre le problème et qu’il recevra une compensation financière pour avoir signalé le problème si le rapport est valide.

120 rapports et plus

À ce jour, nous avons reçu 120 rapports sur des problèmes de sécurité potentiels de la part de 50 membres de Bugcrowd. Les rapports ont traité une série de problèmes tels que les vulnérabilités XSS, les erreurs de configuration et les failles d’authentification. Bien que tous les 120 rapports n’aient pas pu être vérifiés en tant que problèmes de sécurité, un certain nombre d’entre eux ont conduit à un certain type d’action d’atténuation de notre côté.

Plus sûr que jamais

Il est essentiel pour nous de rémunérer équitablement la communauté de la sécurité pour la découverte de failles dans nos produits. Nous pensons que l’utilisation de la meilleure plateforme de primes aux bugs pour l’ensemble du processus, du rapport initial au paiement des primes, a rendu nos produits et services plus sûrs que jamais. Nous travaillons également à l’élargissement de la portée actuelle des primes aux bugs pour inclure des fonctionnalités et des services qui sont en version bêta non publique. Nous souhaitons poursuivre cette expansion en étroite collaboration avec les chercheurs en sécurité qui ont déjà découvert des vulnérabilités dans nos produits. Bien que nous continuions à effectuer des tests de pénétration classiques sur nos services, nous estimons qu’un programme de bug bounty permanent contribue à rendre nos produits globalement plus sûrs. C’est une bonne nouvelle pour nos clients et pour nous.