Vladislav Kochelaevs - Fotolia
Comment Tilkee fait la chasse aux vulnérabilités avec Yogosha
En tout d’année, la jeune pousse a choisi de miser sur le Bug Bounty pour identifier d’éventuelles vulnérabilités fonctionnelles dans ses services. Les résultats ont dépassé les attentes.
C’est en janvier que Tilkee a lancé, avec Yogosha, une opération de chasse aux bogues, un Bug Bounty. Timothée Saumet, directeur technique de Tilkee, souligne l’importance de la démarche : « nous avons conscience de la sécurité depuis le début. Notre métier consiste à manipuler des documents stratégiques pour nos clients. On ne peut pas prendre la sécurité à la légère. Le jour où l’on aura une vraie faille, on mettra la clé sous la porte ».
De fait, Tilkee propose des services visant à améliorer le taux de conversion. Un algorithme d’apprentissage automatique prend par exemple en compte le comportement de lecture des prospects pour aider les équipes commerciales à savoir qui relancer quand pour être plus efficace. La jeune pousse lyonnaise a déjà convaincu EDF, Orange ou encore Adecco. Le premier a doublé son taux de conversion en l’espace de trois moins ; le second l’a amélioré de 26 %.
Avant de recourir à Yogosha, Tilkee avait déjà procédé à des tests d’intrusion. Et Timothée Saumet souligne que « le code est validé avant et après les livraisons. Nous utilisons aussi des outils de surveillance et de recherche de vulnérabilités comme ceux d’iTrust et de Qualys ». En outre, s’appuyant sur des services de PaaS et d’IaaS, Tilkee laisse à la charge de ses fournisseurs la gestion de la sécurité des couches basses de la pile applicative.
Reste alors à aller à la chasse des vulnérabilités « affectant le fonctionnel de l’application », pour trouver « des choses plus créatives ». Et là, le choix du Bug Bounty s’est imposé par l’expérience du test d’intrusion : « en fait, j’ai été globalement déçu jusqu’ici. Ce que j’ai vu, ce sont des consultants qui parcourent une checklist. A la fin, j’ai un tampon, rassurant pour mes clients ». Mais insuffisant selon Timothée Saumet. Et l’expérience Yogosha tend à le conforter.
Car après l’expression des besoins et la définition des récompenses – de 100 € à 1000 € selon la sévérité de la vulnérabilité découverte – les résultats ont rapidement commencé à tomber. « Après 36/48h, nous avions déjà reçu une trentaine de rapports. Nous ne nous y attendions pas du tout ». Mais les choses se sont calmées avec le temps. Au total, l’opération, qui a duré environ trois mois, a permis de collecter une cinquantaine de rapports.
Cetes, il y avait des doublons, avec notamment une vingtaine de rapports relatifs à des failles XSS, mais aussi quelques perles très utiles à Tilkee. « Pour des raisons fonctionnelles, Tilkee doit pouvoir être intégrable en iframe. Mais des chercheurs ont montré comment utiliser cela pour des opérations de hameçonnage afin de récupérer des jetons d’identification. C’était impressionnant ». Des corrections ont pu être apportées.
Et il en va de même pour une autre découverte, tout aussi inattendue. Tilkee permet aux commerciaux de téléverser des documents PDF à adresser à leurs prospects : « un chercheur a imaginé un processus dans lequel un tiers d’une même entreprise cliente pourrait modifier, voire supprimer des fichiers d’un collègue. L’intérêt peut paraître limité, mais nous avons tout de même renforcé le cloisonnement entre comptes utilisateurs d’une même entreprise ».
Initialement, Tilkee avait prévu un budget de 5000 € pour l’opération et a choisi de le laisser filer à 6000 € pour se laisser la possibilité de découvrir de nouvelles vulnérabilités. Et ces découvertes ont affecté la roadmap produit, qui s’en est retrouvée retardée d’un mois.
Mais Timothée Saumet y voit surtout un côté bénéfique : « cela permet de communiquer auprès de nos commerciaux, et d’expliquer pourquoi il est utile et important de prendre du temps pour certaines évolutions de notre produit ». Et cet exercice n’a rien de superflu car, largement, « la sécurité reste vue comme une contrainte ».