Piratage de Contentful

C’est un fait : tout grand code source contient forcément des bugs. Au fil des années, de nombreuses estimations ont été faites sur la relation entre le nombre de lignes de code et le nombre de bugs qu’elles contiennent. Une estimation fréquemment citée provient de Steve McConnell et de son livre Code Complete où il écrit que la moyenne de l’industrie est « d’environ 15 à 50 erreurs pour 1 000 lignes de code livré ».

Mais quel que soit le rapport entre les lignes de code et les erreurs, certaines de ces incohérences réduiront malheureusement le niveau de sécurité du système exécutant le code.

Étant donné que la sécurité est une question sérieuse pour Contentful, nous utilisons un programme de primes aux bugs dans le cadre de nos efforts pour fournir des services sécurisés et de haute qualité à nos clients.

Un programme de prime aux bugs est un moyen pour les entreprises de récompenser financièrement les hackers et les chercheurs en sécurité qui signalent de manière responsable des vulnérabilités. Le rapport contient généralement une description technique de la façon dont la vulnérabilité a été découverte, afin que le destinataire puisse vérifier l’exactitude du rapport. Le rapporteur s’engage également à garder la vulnérabilité découverte secrète du grand public jusqu’à ce que le fournisseur ait eu le temps de la corriger. Dans la plupart des programmes de primes aux bugs, il existe une relation étroite entre la gravité de la vulnérabilité découverte et le montant versé à la personne qui l’a signalée.

Les tests de pénétration traditionnels sont un moyen éprouvé de trouver et de signaler les vulnérabilités. Toutefois, un inconvénient possible est que les tests d’intrusion traditionnels sont généralement effectués sur une durée restreinte, par un nombre limité de testeurs, et selon un champ d’application très précis. Un programme de prime au bugs en continu permet de disposer d’un test d’intrusion permanent, mobilisant un plus large réseau d’experts particulièrement talentueux. Et travailler avec un groupe d’individus aussi diversifié signifie également que vous avez accès à une grande variété d’esprits créatifs.

Contentful travaille avec Bugcrowd depuis plus d’un an. En plus d’avoir accès à un grand nombre de testeurs soucieux de la sécurité, la principale raison d’utiliser Bugcrowd était de mieux coordonner les rapports de sécurité entrants. Et, leurs services de triage et de validation fonctionnent incroyablement bien. Par le passé, les vulnérabilités potentielles étaient signalées à Contentful par un message à notre personnel d’assistance. Maintenant que nous utilisons un programme de primes aux bugs géré en continu, notre personnel d’assistance n’aura pas à se soucier d’essayer de déchiffrer les descriptions de vulnérabilités ou d’essayer d’interpréter des exemples de preuve de concept. A la place, les rapports finissent directement là où ils doivent être, entre les mains de nos experts en sécurité.

Après avoir reçu un rapport sur un problème de sécurité potentiel, nous essayons de vérifier rapidement son exactitude et son impact potentiel. Nous procédons ainsi en vérifiant si la vulnérabilité signalée a déjà été rapportée auparavant, et si nous pouvons reproduire la faille de sécurité potentielle telle que décrite par le rapporteur. À ce stade, l’utilisation d’un programme de primes aux bugs a deux objectifs :

1. Le rapporteur reçoit une confirmation indiquant que la découverte est bien un problème de sécurité.

2. Le rapporteur sait maintenant que nous travaillons à résoudre le problème et qu’il recevra une compensation financière pour avoir signalé le problème si le rapport est valide.

À ce jour, nous avons reçu 120 rapports sur des problèmes de sécurité potentiels de la part de 50 membres de Bugcrowd. Les rapports ont traité une série de problèmes tels que les vulnérabilités XSS, les erreurs de configuration et les failles d’authentification. Bien que l’ensemble des 120 rapports n’ait pas pu être confirmé comme constituant des problèmes de sécurité, un certain nombre d’entre eux ont donné lieu à des mesures d’atténuation de notre part.

Il est essentiel pour nous de rémunérer équitablement la communauté de la sécurité pour la découverte de failles dans nos produits. Nous pensons que l’utilisation de la meilleure plateforme de primes aux bugs pour l’ensemble du processus, du rapport initial au paiement des primes, a rendu nos produits et services plus sûrs que jamais. Nous travaillons également à l’élargissement de la portée actuelle des primes aux bugs pour inclure des fonctionnalités et des services qui sont en version bêta non publique. Nous souhaitons poursuivre cette expansion en étroite collaboration avec les chercheurs en sécurité qui ont déjà découvert des vulnérabilités dans nos produits. Bien que nous continuions à effectuer des tests de pénétration classiques sur nos services, nous estimons qu’un programme de prime aux bugs permanent contribue à rendre nos produits globalement plus sûrs. C’est une bonne nouvelle pour nos clients et pour nous.

Si vous avez découvert une vulnérabilité, un bug ou quelque chose d’inhabituel, la meilleure façon de nous contacter est de remplir le formulaire de soumission.