En contact permanent avec sa communauté de chercheurs en sécurité, YesWeHack a fait le constat suivant : il est complexe pour un chercheur en sécurité et par conséquent pour un lanceur d’alerte de signaler de manière responsable des failles de sécurité aux entreprises impactées quand celles-ci n’ont pas de programme de Bug Bounty notamment sur BountyFactory.io.
Les découvreurs de failles ne savent pas toujours comment les transmettre aux sociétés concernées sans les dévoiler à un tiers et malheureusement un contact direct avec les sociétés représente toujours un risque judiciaire. Partenaire de confiance de longue date auprès de la communauté des chercheurs en sécurité via ses fondateurs, YesWeHack lance ZeroDisclo.com. Cette plateforme fournit les moyens techniques et l’environnement nécessaire à tous pour adopter le signalement responsable de vulnérabilités communément appelé « Responsible Disclosure« .
La plateforme accessible en direct ou via le réseau Tor, propose à tout internaute de signaler une
vulnérabilité aux CERTs™ au travers d’un formulaire en ligne, en fournissant les informations nécessaires à sa compréhension et à l’évaluation de sa gravité grâce à son score CVSS. Le chercheur peut alors choisir de rester anonyme ou de fournir son identité s’il souhaite être contacté, voire remercié en retour.
Les informations sont ensuite chiffrées via OpenPGP avec la clé du CERT™ directement dans le navigateur, horodatées et signées grâce à la blockchain et transmises automatiquement aux CERTs™ choisis parmi une liste exhaustive. En échange, le chercheur reçoit un certificat qui atteste de son dépôt.
Actuellement, les CERT proposés par ZeroDisclo.com sont les CERT-EU, CERT-FR, US-CERT, et le CERTUBIK créé par Digital Security sélectionné pour les remontées concernant les objets connectés. De plus, les entreprises qui le souhaitent peuvent s’abonner gratuitement sur ZeroDisclo.com pour être informées en temps réel des remontées de failles les concernant et le cas échéant, prendre contact avec les CERTs concerné afin d’en connaître les détails.
L’objectif de ZeroDisclo.com est de responsabiliser la communauté, de permettre aux chercheurs en sécurité de prouver leur bonne foi. ZeroDisclo.com offre une alternative efficace, éthique et responsable face aux services divulguant des vulnérabilités sur Internet et au marché noir.
Lancée en 2013, YesWeHack met en lien des organisations ou projets ayant des besoins en sécurité
informatique, avec des personnes qualifiées.
4 plateformes interdépendantes sont disponibles :
– YesWeHack.com : le premier site d’emploi spécialisé dans la sécurité informatique.
– BountyFactory.io : première plateforme européenne de Bug Bounties.
– FireBounty.com : Agrégateur de Bug Bounties.
– ZeroDisclo.com : Plateforme de signalement responsable de vulnérabilités.
Responsible Disclosure : https://en.wikipedia.org/wiki/Responsible_disclosure
CVSS : https://en.wikipedia.org/wiki/CVSS
OpenPGP : https://en.wikipedia.org/wiki/Pretty_Good_Privacy#OpenPGP
CERT™ : https://en.wikipedia.org/wiki/Computer_emergency_response_team
Quand je trouve des failles c’est simple, je ne dis rien :
1 – le groupe du CAC40 ne pense quand même pas que je vais travailler gratuitement pour lui,
2- j’ai pas envie de finir chez les flics garants de notre super démocratie 3.0.
Vous pouvez passer par le Protocole d’Alerte de ZATAZ : http://www.zataz.com/protocole-alerte-zataz/#axzz4XQwnm6z3