Après des semaines de tergiversations apparentes, le rythme s’accélère soudain pour l’application gouvernementale de détection de proximité et de suivi de contact. En effet, pendant que des débats passionnés ont fait le bonheur des médias de masse et des réseaux sociaux, le développement de l’application continuait son bonhomme de chemin. À présent, nous atteignons la phase finale ou tout s’accélère. La CNIL a donné son feu vert au regard des critères dont elle a la charge, principalement la conformité au RGPD. Et, sur recommandation de l’ANSSI, une vaste chasse aux bugs et autres vulnérabilités est organisée.
Conformément aux recommandations techniques de l’Agence nationale de la sécurité des systèmes d’information, l’INRIA, qui chapeaute le développement de StopCovid, lance, ce mercredi 27 mai, une cohorte de chasseurs pour éprouver la fiabilité de l’application et le respect des normes et règlements et de la sécurité. L’organisation de ce vaste Bug Bounty a été confiée à YesWeHack, la jeune pousse qui va fédérer sa communauté de hackers indépendants.
Ce Bug Bounty se déroulera en deux phases. À partir de ce 27 mai, l’application sera soumise à une première phase dite privée : une vingtaine de hackers éthiques répartis dans toute l’Europe testeront la sécurité de l’application. La seconde phase débutera lors du lancement : l’application passera dans une phase de Bug Bounty public, durant laquelle les 15 000 hackers de la communauté YesWeHack pourront tester la sécurité de l’application, en continu tout au long de son cycle de vie. Les hackers seront rémunérés en fonction des failles qu’ils pourraient trouver dans l’application.
