Passer au contenu principal
Dashlane Logo

Comment le programme de chasse aux bogues de Dashlane nous aide à être plus sécurisés

  |  W. Perry Wortman

Initialement publié le 16 octobre 2020. Dernière mise à jour le 5 mai 2023.

La sécurité est essentielle pour un gestionnaire de mots de passe comme Dashlane. En effet, notre produit a pour objectif d’aider nos clients à enregistrer leur identité numérique, leurs identifiants, leurs données personnelles et leurs moyens de paiement de manière sécurisée et pratique.

Pour nous assurer de maintenir le plus haut niveau de sécurité, nous nous appuyons sur de nombreuses pratiques cumulatives et couches de sécurité. En voici quelques-unes :

  • Au fur et à mesure que nous développons le produit, chaque ligne de code passe par une étape de révision obligatoire menée en interne par plusieurs réviseurs de notre équipe d’ingénierie.
  • Nous exécutons des outils automatisés pour détecter les failles de sécurité potentielles dans notre système.
  • Notre cycle de vie de développement logiciel se fonde sur les conventions et les bonnes pratiques de différents cadres de conformités comme les directives de l’OWASP, de Google, d’Apple et de Microsoft ou encore les normes PCI-DSS et SOC2.
  • Notre équipe de sécurité dédiée aide l’ensemble de l’organisation à s’assurer que nous suivons les règles de sécurité appropriées.
  • Nous avons récemment décidé de rendre le code source de nos applications mobiles accessible au public afin que davantage de personnes puissent auditer notre code.
  • Enfin, nous nous appuyons sur des programmes de sécurité de chasse aux bogues pour encourager un maximum de personnes talentueuses à s’intéresser à l’ensemble de nos applications et services et à signaler les problèmes éventuels.

Qu’est-ce qu’un programme de chasse aux bogues ?

Un programme de chasse aux bogues est un moyen pour toute organisation de demander aux pirates éthiques et aux chercheurs en sécurité de rechercher les vulnérabilités et les failles de sécurité de leur produit et de leur accorder des primes en fonction de la gravité du problème qu’ils trouvent.

Les pirates éthiques sont des experts en sécurité informatique qui se spécialisent dans la recherche de problèmes de sécurité. Ils signalent les bogues relatifs à la sécurité aux organisations pour leur donner l’occasion d’améliorer la qualité et la sécurité de leur produit. Ces pirates peuvent le faire gratuitement, dans le but d’améliorer la sécurité de tous, ou en échange d’une récompense sous forme de prime. Il s’agit de divulgation responsable : lorsqu’un pirate éthique découvre un problème de sécurité, il en informe l’organisation concernée pour qu’elle puisse corriger la vulnérabilité en question avant qu’elle ne soit exploitée de manière malveillante ou divulguée au public.

Le programme de chasse aux bogues de Dashlane

Chez Dashlane, nous menons un programme de chasse aux bogues sur une plate-forme appelée HackerOne depuis 2015. HackerOne nous met en relation avec des milliers d’experts en sécurité et de pirates éthiques. Notre chef de la sécurité aime l’appeler « l’Uber de la sécurité ». La plate-forme permet en effet de demander facilement de l’aide. Nous pouvons tirer parti d’une communauté de sécurité étendue et nous assurer que davantage d’yeux s’intéressent à notre code, plutôt que de nous fier uniquement aux employés de Dashlane, voire aux agences d’audit de sécurité tierces.

Une capture d'écran de la page de Dashlane sur la plate-forme HackerOne.

Nous avons commencé par un programme confidentiel. Sur HackerOne, vous pouvez commencer par restreindre les personnes qui peuvent participer, puis augmenter progressivement le nombre d’experts qui peuvent soumettre des problèmes. C’était important pour nous, car nous avons ainsi appris à gérer le flux de travail associé aux soumissions de HackerOne.

Il est important de bâtir la structure interne appropriée pour évaluer, trier et corriger les problèmes, puis récompenser les pirates éthiques dans un délai raisonnable. Les participants au programme s’attendent à ce que nous soyons réactifs, sinon ils se focaliseront sur d’autres programmes plus attrayants. Bien sûr, les niveaux de prime sont également importants : nos primes vont de 200 $ pour un bogue de faible gravité à 5 000 $ pour les bogues critiques. Consultez nos statistiques les plus récentes en termes d’efficacité de réponse ainsi que les statistiques du programme ci-dessous.

Une capture d'écran sur l'efficacité de la réponse de Dashlane dans HackerOne. Le temps moyen de la première réponse est de 7 heures. Le temps moyen de tri est de 4 jours. Le temps moyen de récompense est de 22 heures. Le temps moyen de résolution est d'environ 1 mois. 90 % des rapports répondent aux normes de réponse basées sur les 90 derniers jours.
Une capture d'écran des statistiques du programme de Dashlane dans HackerOne. Le total des primes versées est inférieur à 70 000 $. La prime moyenne est de 200 $. La fourchette de prime la plus élevée est de 600 $ à 2 000 $. Dashlane a versé 5 000 $ de primes au cours des 90 derniers jours. 21 rapports ont été reçus au cours des 90 derniers jours. Le dernier rapport a été résolu il y a 13 jours. 266 rapports ont été résolus. 158 pirates ont été remerciés.

Nous avons continué d’améliorer la portée précise de notre programme, y compris de ce que nous jugeons être des soumissions éligibles et des exclusions au programme. Cela nous a permis d’éviter d’obtenir trop de soumissions inutiles ou de faux positifs.

Une fois que nous étions certains de pouvoir gérer plus de soumissions, nous avons commencé à augmenter le nombre d’invitations privées à notre programme jusqu’à ce que nous puissions le rendre entièrement public en 2017.

Nous avons également ajouté des ressources en matière de sécurité à notre site Web pour faciliter le signalement des problèmes de sécurité. Renseignez-vous sur dashlane.com/security/researchers pour tout savoir sur notre programme et sur la façon d’y participer. Nous aimons quand les pirates éthiques et les chercheurs en sécurité nous fournissent des preuves de concept ou des captures d’écran. Ces derniers nous aident vraiment à évaluer et à reproduire les problèmes plus facilement. En guise de bonne pratique, nous vous fournissons également une clé PGP pour vous permettre de fournir des données plus sensibles si nécessaire.

Conseils pour commencer

La sécurité est importante pour tout le monde. Si vous travaillez dans le développement de logiciels, vous devez mettre en œuvre votre propre protocole de sécurité très tôt, même si vous êtes une jeune startup. C’est facile à faire et pas si cher.

  1. Commencez dès que vous le pouvez avec un programme confidentiel auquel participent 50 à 100 pirates éthiques invités. Vous devrez offrir des primes en adéquation avec les attentes du marché pour que votre programme soit attrayant.
  2. Au cours de ces premiers jours, configurez le processus interne de gestion des vulnérabilités soumises. Ajustez la description et la configuration de votre programme.
  3. En plus d’améliorer le niveau de sécurité de votre produit, utilisez votre programme de chasse aux bogues comme un outil de marketing. C’est particulièrement utile pour les entreprises qui vendent à d’autres entreprises, car il apporte une valeur ajoutée à votre présentation.
  4. Développez votre programme progressivement jusqu’à ce que vous soyez prêt à le rendre public.
  5. À un moment donné, vous remarquerez peut-être que le flux de rapports ralentit. Cela signifie que vous devez augmenter les primes et vous assurer de communiquer vos nouvelles fonctionnalités aux pirates : les chercheurs ne passeront pas leur temps dans d’anciens programmes avec peu de victoires faciles sans bonnes incitations.

Commencez par le programme de chasse aux bogues de Dashlane pour mettre vos compétences à l’épreuve et peut-être gagner de l’argent supplémentaire. Bonne chasse aux bogues !

Inscrivez-vous pour connaître toute l'actualité de Dashlane

Partager

FacebookXLinkedInRedditReddit
A picture of the author: W. Perry Wortman
W. Perry Wortman