Lancé par Zoom depuis quelques années, un programme de bug bounty cherche à mieux identifier les vulnérabilités présentes dans ses outils. Le spécialiste des communications unifiées a présenté les résultats 2022 de son programme de fiabilisation.
Depuis son lancement, Zoom a attribué 7 millions de dollars à des centaines de « chercheurs » dans le cadre de son programme de bug bounty visant à identifier les vulnérabilités liées à l’utilisation de ses solutions. Sur ce montant, 3,9 millions de dollars de primes ont été versées en 2022. Un indice significatif du volume de tests menés.
Le programme a été mené en partenariat avec la plateforme HackerOne. Le challenge était d’attirer des talents de haut niveau. Zoom a notamment misé sur des évènements comme le HackerOne H1-702 Event, qui s’est tenu en septembre 2022 à Las Végas. A cette occasion, une centaine de professionnels de la sécurité provenant de 29 pays ont tenté de pirater (et ont parfois réussi) le client Zoom Web et le client Desktop mais aussi les API, les applications Zooms Marketplace, et l’un des binaires distribué par Zoom. Près de 500 000 dollars de primes ont été d’ailleurs distribués à cette occasion.
Pour rappel, les « chercheurs » ou « hackers éthiques » s’engagent classiquement dans ce contexte à respecter un certain nombre de règles comme ne pas mener des actions qui pourraient affecter négativement l’infrastructure Zoom ou ses utilisateurs, par exemple à travers des attaques de type DDoS. Ce n’est pas l’objectif recherché. Le but de telles campagnes est bien de révéler des faiblesses dans le code des outils Zoom ou dans les configurations exposées à l’Internet. Les hackers d’HackerOne ne doivent aussi bien sûr pas divulguer toute information relative à leur découverte sans l’autorisation de Zoom. Les vulnérabilités identifiées sont classées en fonction du standard Common Vulnerability Scoring System (CVSS).
Zoom a ajouté à son programme un système de notation appelé Vulnerability Impact Scoring System (VISS). Celui-ci analyse treize aspects différents de l’impact de chaque vulnérabilité signalée, relatifs à l’infrastructure Zoom, à la technologie et à la sécurité des données des clients, et se concentre davantage sur la mesurabilité de l’impact que sur les possibles exploitations de ces failles.