Archives par mot-clé : bug bounty

Cybersécurité, Mise à jour

Zoom muscle sa cybersécurité avec son Bug Bounty 2024

Près de 1 000 experts en cybersécurité ont collaboré avec Zoom pour identifier des failles critiques, réduisant de 90 % le temps de correction et renforçant la défense de ses outils de communication.

Dans un contexte où les cybermenaces évoluent à un rythme effréné, la course à la sécurité numérique s’intensifie. Zoom, acteur majeur des communications unifiées, vient de publier les résultats 2024 de son programme de Bug Bounty. Ce dispositif, qui récompense la découverte responsable de failles de sécurité, a mobilisé près de 1 000 chercheurs à travers le monde, permettant à la plateforme d’opérer une nette avancée dans la sécurisation de ses produits. En seulement un an, le délai de résolution des vulnérabilités critiques a chuté de plus de 90 %, un record pour l’entreprise.

Un tournant stratégique face à l’enjeu cyber

L’année 2024 aura marqué un changement de cap dans la stratégie de cybersécurité de Zoom. Consciente que sa croissance fulgurante depuis 2020 l’a rendue vulnérable à de nombreuses menaces, la société s’est engagée dans une collaboration d’envergure avec la communauté internationale des hackers éthiques. Grâce à sa coopération étroite une plateforme de coordination des programmes de Bug Bounty [comme Yes We Hack ou encore Yogosha], Zoom a pu élargir le champ de recherche de failles à une diversité d’experts, issus aussi bien du secteur académique que de la sécurité offensive. Résultat : plusieurs centaines de vulnérabilités identifiées via HackerOne, analysées et corrigées dans un délai considérablement réduit par rapport aux années précédentes.

Ce gain d’efficacité est particulièrement spectaculaire en matière de failles critiques. Entre février 2024 et janvier 2025, leur résolution a été accélérée de manière drastique. Là où certaines corrections prenaient plusieurs semaines, les équipes de Zoom sont aujourd’hui capables d’apporter une réponse adaptée en quelques jours. Cette performance, qui tient autant à l’efficacité du programme qu’à l’implication des chercheurs, marque une rupture par rapport aux standards du secteur.

Une participation record, des résultats concrets

La participation des chercheurs en sécurité à travers le monde a doublé par rapport à l’année précédente, avec près de 1 000 contributeurs ayant activement participé à la détection des failles. Zoom, qui s’appuie sur une architecture complexe mêlant vidéoconférence, collaboration en ligne et intégration cloud, a vu dans ce vivier de talents une opportunité de durcir ses défenses sur tous les fronts. Les vulnérabilités découvertes n’étaient pas que théoriques : elles ont donné lieu à des correctifs majeurs déployés dans les systèmes de production.

Parmi les améliorations notables, on trouve un renforcement des mécanismes d’authentification sur l’ensemble des services, un durcissement des points d’accès API contre les vecteurs d’attaque émergents, un affinement des permissions au sein des outils collaboratifs ainsi qu’un meilleur contrôle des accès aux données dans l’infrastructure cloud. Autant de chantiers techniques qui témoignent de la complexité du défi, mais aussi de la volonté de Zoom de ne laisser aucun angle mort.

« La résolution des failles critiques a été réduite de 90 % en un an, un record pour la plateforme. »

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Diversification des approches et spécialisation des profils

Le succès du programme repose également sur sa structuration multi-niveaux. Zoom n’a pas misé sur un modèle unique, mais a préféré orchestrer une série de dispositifs adaptés à différents profils de chercheurs. Le programme public “VDP” (Vulnerability Disclosure Program) a ouvert les portes à toute la communauté mondiale des white hats. En parallèle, un programme privé a été lancé, ciblant des fonctionnalités spécifiques et permettant des tests en conditions quasi réelles. Les chercheurs VIP, sélectionnés pour leur expertise pointue, ont travaillé sur les systèmes critiques de l’écosystème Zoom.

Enfin, les challenges spécialisés ont constitué une forme de compétition ciblée sur des technologies émergentes, à l’image des outils d’intelligence artificielle ou des nouveaux services de réalité augmentée que l’entreprise développe. Cette segmentation stratégique permet à Zoom de tirer parti d’un large éventail de compétences, tout en s’assurant que les tests effectués répondent aux besoins spécifiques de chaque produit ou service.

Cette organisation a permis d’identifier non seulement des failles inattendues, mais aussi des zones de friction dans les flux d’utilisation, offrant un retour d’expérience précieux aux équipes produit. Zoom estime ainsi que son approche Bug Bounty constitue désormais un maillon essentiel de son processus de développement sécurisé.

Une dynamique encouragée par les résultats

La reconnaissance du travail des chercheurs n’est pas restée symbolique. Zoom a activement valorisé les contributions les plus importantes, avec un système de récompenses ajusté en fonction de la gravité des failles. Le meilleur contributeur de 2024 a ainsi identifié 12 vulnérabilités majeures, renforçant la crédibilité du programme et incitant d’autres experts à s’impliquer. Certains participants ont même atteint le statut de “chercheur élite”, une distinction attribuée aux profils les plus réguliers et pertinents du programme.

Porté par ces résultats, Zoom a déjà annoncé les grandes lignes de l’évolution de son programme pour 2025. L’un des axes majeurs sera l’élargissement du périmètre des tests à l’ensemble des nouvelles offres produits, incluant notamment les fonctionnalités à base d’IA générative ou les futures applications immersives. Le budget alloué aux récompenses sera lui aussi revu à la hausse, avec une augmentation prévue dans toutes les catégories de failles.

En parallèle, Zoom mise sur l’automatisation du triage des rapports de vulnérabilités grâce à l’intelligence artificielle, afin d’accélérer l’analyse initiale et de prioriser les actions plus efficacement. Des événements internationaux sont également au programme : ils réuniront les meilleurs chercheurs lors de “live hacking events” pour renforcer la sécurité sur des technologies de pointe. Cette approche proactive témoigne d’une volonté d’ancrer la sécurité dans la culture même de l’innovation.

Sandra McLeod, Chief Information Security Officer de Zoom, résume ainsi cette stratégie : « Cette approche nous permet de mobiliser les talents adéquats dans des environnements de test adaptés, ce qui garantit des résultats concrets en matière de sécurité. » Une vision résolument collaborative et orientée vers l’agilité, dans un domaine où la vitesse d’exécution est devenue cruciale.

La cybersécurité comme levier de confiance

Au-delà des aspects techniques, le Bug Bounty s’impose comme un levier de confiance. Pour une plateforme utilisée quotidiennement par des millions d’utilisateurs dans le monde entier, l’assurance d’un environnement sécurisé est devenue un critère de choix incontournable. En se dotant d’un tel programme, Zoom adresse non seulement les enjeux actuels de cybersécurité, mais anticipe aussi les exigences réglementaires croissantes en matière de protection des données.

Alors que les cyberattaques continuent de se multiplier et de se professionnaliser, l’exemple de Zoom montre que l’ouverture, la transparence et la coopération peuvent constituer des armes redoutablement efficaces. En mobilisant les compétences de milliers de chercheurs dans le monde, l’entreprise n’a pas seulement colmaté des brèches : elle a posé les bases d’une cybersécurité vivante, adaptative, en perpétuelle évolution.

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

Communiqué de presse, Cybersécurité, Securite informatique

YesWeHack lève 4 millions d’euros et entend révolutionner le marché de la cybersécurité en Europe

YesWeHack, la première plateforme européenne de Bug Bounty annonce aujourd’hui une levée de fonds de 4 millions d’euros auprès d’Open CNP, programme de corporate venture de CNP Assurances, et de Normandie Participations. L’opération a pour objectif de renforcer le développement de l’entreprise en France et d’accélérer sa présence à l’international, notamment en Europe et en Asie.

Fondé en 2013, YesWeHack propose aux entreprises une approche innovante de la cybersécurité, grâce au Bug Bounty (récompense à la vulnérabilité), en mettant en relation plus de 7 000 experts en cybersécurité (hackers éthiques) répartis dans 120 pays, et des entreprises pour sécuriser leurs périmètres exposés et rechercher les vulnérabilités (bugs) de leurs sites web, applications mobiles, infrastructures et objets connectés.

Avec cette levée de fond, YesWeHack entend jouer un rôle décisif dans la révolution que constitue le développement en Europe d’une approche agile de la sécurité, accélérateur de la transformation digitale. Le Bug Bounty participe ainsi à la tendance DevSecOps (développement-sécurité-opérations), pour intégrer la sécurité des systèmes de façon plus proactive, dès la genèse des projets.

YesWeHack étoffe son conseil stratégique avec l’arrivée de Laurent Seror, président d’Outscale, Eric Leandri, PDG de Qwant, Charles Beigbeder et Jonathan Denais d’Open CNP.
Avec cet investissement, CNP Assurances poursuit ses objectifs d’investissements et de partenariats avec des start-up innovantes en réalisant ainsi le 7èmeinvestissement d’Open CNP, son programme de corporate venture. Créé en 2016, il a pour objectif d’accompagner financièrement la croissance de start-up innovantes tout en développant avec elles des solutions avancées dans des domaines porteurs : fintech, assurtech, e-santé et autres technologies, lui permettant de mieux servir ses clients. CNP Assurances est depuis juillet 2018 utilisateur de la plateforme YesWeHack et a mis en place son programme de Bug Bounty.

Normandie Participations participe au dynamisme du territoire aux côtés des autres acteurs locaux du financement. Sur un principe de co-investissement avec des acteurs privés, Normandie Participations, doté d’un capital 100 % Région Normandie, s’adresse aux entreprises dans les champs de l’amorçage, l’innovation, le développement, la création, la transmission et le rebond. Le fond régional a réalisé 38 participations pour 30 M€ d’investissements en un peu plus de 2 ans.

Cybersécurité, Securite informatique

Les professionnels du Bug Bounty, Yes We Hack, référencés par Gartner

La société Française Yes We Hack, spécialiste du Bug Bounty, vient de rentrer dans le prestigieux “Market Guide” de l’américain Gartner. Gartner Inc. est une entreprise de conseil reconnue aux quatre coins du monde. Gartnet a référencé pour la première fois une plateforme européenne de Bug Bounty dans son fameux guide. Le « Market Guide » permet aux entreprises de prendre les bonnes décisions en matière de prospective, d’achat et de tailles de marché.

Cybersécurité, Entreprise, Mise à jour, Patch, Propriété Industrielle

Bug Bounty : quand les entreprises peuvent faire appel aux hackers

Chercher des failles, corriger son système informatique pour contrer les pirates, voilà l’idée proposée depuis trois mois par la Bounty Factory. Cette start-up française propose aux entreprises de regarder en direction du Bug Bounty.

Il y a trois mois était lancé sur la toile Européenne une petite révolution dans le monde de la sécurité informatique. Sous le nom de la Bounty Factory, une start-up normande propose aux entreprises de réfléchir à leur sécurité informatique via une nouvelle option loin d’être négligeable, le Bug Bounty. Comme l’explique ZATAZ.COM, la Bounty Factory propose aux responsables de sécurité informatique des sociétés Françaises et Européennes de rencontrer des talents et des passionnés informatiques pour sécuriser leurs systèmes.

Lancée en janvier 2016, la Bounty Factory a vu 300 personnes s’inscrire à sa bêta fermée, et cela en deux semaines. Preuve de l’intérêt de ce sujet. « Plusieurs sociétés nous ont contacté » indiquent les fondateurs. La version publique de bountyfactory.io arrive. Autant dire que les amateurs de Bug Bounty sauront où se diriger.

Antivirus, Chiffrement, Cybersécurité, Logiciels, Mise à jour, Patch, Virus

L’outil de sécurité Malwarebytes corrige plusieurs failles de sécurité

Plusieurs failles de sécurité visant le logiciel anti malwares Malwarebytes en cours de correction. Un pirate aurait pu s’inviter entre un client et l’éditeur pour modifier les informations transmissent pour l’éditeur.

Tavis Ormandy est un chercheur en sécurité informatique, membre du Project Zero de Google. Mission, trouver des failles et les faire corriger. L’homme est spécialisé dans les antivirus et logiciels en charge de sécuriser les internautes. Après Avast, AVG, Eset, FireEye, Kaspersky et Trend Micro, Tavis Ormandy vient de secourir les utilisateurs de l’outil Malwarebytes.

Plusieurs failles avaient été découvertes et remontées à l’éditeur en novembre 2015. Malwarebytes vient de corriger une partie des problèmes. L’une des vulnérabilités était le fait que les mises à jour de l’anti codes malveillants se faisaient via un HTTP non chiffré.

A noter que l’entreprise a lancé son bug bounty permettant de payer les failles qui lui seront remontées. Prix maximum, 1.000 dollars. Autant dire qu’ils ne vont pas avoir beaucoup de participants. Un 0day pour un antivirus se commercialise plusieurs milliers de dollars dans le blackmarket !