Programme "Bug Bounty" Zoom : retour sur l’année 2021

Assurer des communications virtuelles sûres et sécurisées est une priorité absolue chez Zoom. La confidentialité et l'intégrité des messages et des réunions, ainsi que la disponibilité et la fiabilité de notre infrastructure mondiale sont les préoccupations principales de centaines de nos ingénieurs en sécurité internes.

Pour garder une longueur d'avance sur les menaces qui pèsent sur nos utilisateurs et notre infrastructure, nous savons qu'il est essentiel d'ériger des défenses solides. C'est pourquoi nous testons continuellement notre plateforme et notre infrastructure dans le but d'identifier les menaces potentielles et émergentes, et de repérer les vulnérabilités.

Même si Zoom teste ses solutions et son infrastructure chaque jour, nous savons qu'il est crucial de renforcer ces tests en tirant parti de la communauté des hackers éthiques afin de détecter les cas limites de vulnérabilité qui ne peuvent être repérés que dans certains cas d'utilisation et dans certaines circonstances.

C'est dans cette optique que Zoom a investi dans une équipe mondiale et qualifiée de chercheurs en sécurité par le biais d'un programme de recherche d'erreurs privé sur la plateforme d'HackerOne, le prestataire numéro un du secteur pour le recrutement et la mise en contact avec des professionnels axés sur la sécurité. Les programmes de recherche d'erreurs privés sont sur invitation uniquement, ce qui permet aux entreprises de sélectionner elles-mêmes des chercheurs en sécurité en fonction de leur expérience passée. HackerOne calcule des statistiques pour chaque chercheur selon son rapport signal sur bruit, son apport aux programmes auxquels il a pris part et sa réputation. Ces données permettent d'estimer la pertinence et l'exploitabilité des découvertes que fera le chercheur.

Zoom a recruté plus de 800 chercheurs en sécurité sur la plateforme HackerOne. Leur travail collectif a entraîné le signalement d'un grand nombre d'erreurs et la remise de plus de 2,4 millions USD en primes, récompenses et cadeaux depuis le lancement du programme. En 2021 seulement, Zoom a versé plus de 1,8 million USD pour 401 rapports. Nous tenons à remercier tous ceux qui ont, avec discernement, dévoilé des erreurs à Zoom, et tout particulièrement les chercheurs suivants qui figurent dans notre « Top 10 » :

L'année passée, notre équipe de gestion des vulnérabilités et de recherche d'erreurs (VMBB, de l'anglais « Vulnerability Management and Bug Bounty ») s'est attachée à évoluer au sein d'un environnement de recrutement compétitif et à attirer plus de « rock stars » de la recherche en sécurité dans notre programme en leur offrant une expérience exceptionnelle.

Pour attirer les meilleurs talents, nous avons instauré les cinq principes suivants qui guident notre programme et contribuent à l'améliorer :

• Proposer des politiques de programme claires et concises qui énoncent les types de tests autorisés, fournissent des détails concernant la politique « Bouclier de protection » (Safe Harbor) du programme et présentent une carte des fourchettes de primes potentielles pour des types particuliers de vulnérabilités signalées.
  
• Augmenter systématiquement l'étendue de la surface d'attaque, également appelée le « champ d'application » du programme de recherche d'erreurs, et définir clairement ce qui est précisément hors du champ d'application, ou hors limites.
  
• Réduire au minimum les délais de réponse, de correction et de versement des primes du programme. Personne n'aime attendre pour être écouté ou payé pour son travail, y compris les hackers éthiques.
  
• Maintenir des relations professionnelles et un lien direct avec les employés de Zoom chargés de la gestion du programme de recherche d'erreurs, du triage des signalements envoyés et de l'estimation des primes.
  
• Assurer des primes compétitives qui reflètent réellement le travail réalisé par les chercheurs et la gravité des conséquences qu'aurait une vulnérabilité si elle était exploitée.

Pour soutenir les chercheurs actuels et en attirer de nouveaux, Zoom a également procédé à plusieurs mises à jour essentielles de son programme de recherche d'erreurs en 2021. Voici ce qu'il est parvenu à faire :

• Nous avons pris nos distances avec la fourchette de primes figée basée uniquement sur la gravité de la vulnérabilité signalée et nous avons mis en place une « Carte des primes ». Celle-ci indique aux chercheurs des montants de prime précis en fonction du type de vulnérabilité décelée et des conséquences démontrées qu'elle aurait pu avoir sur les utilisateurs et l'infrastructure de Zoom. En janvier 2021, Zoom a augmenté la limite supérieure des primes à 50 000 USD pour un seul signalement et la limite inférieure à 250 USD.

• Nous avons ouvert un programme de divulgation des vulnérabilités public qui permet à tous, et non pas seulement aux chercheurs en sécurité reconnus, d'envoyer des signalements de vulnérabilités à Zoom. Ce programme simplifie la prise en compte des signalements et permet aux équipes concernées chez Zoom d'être mises au courant rapidement ; la correction des erreurs est ainsi plus rapide et le produit est plus sécurisé.

• En octobre 2021, nous avons lancé le programme de recherche d'erreurs VIP. Ce programme est axé sur les versions sous licence des solutions Zoom et a étendu le champ d'application des tests de sécurité.
  
• Tout au long de l'année 2021, l'équipe VMBB de Zoom s'est attachée à réduire les délais de réponse initiale, de triage, de correction et de versement des primes. Nos indicateurs actuels indiquent que le temps de réponse initial moyen est légèrement inférieur à quatre heures et que le triage complet d'un signalement entrant prend généralement moins de 48 heures. Les primes à payer sont abordées et passées en revue par l'équipe chaque semaine. Les primes sont donc généralement versées dans les 14 jours suivant l'envoi du signalement.

• Pour favoriser le maintien des relations avec les chercheurs, Zoom a organisé plusieurs réunions d'accueil avec des chercheurs du monde entier. Des étudiants aux professeurs en passant par les jeunes talentueux apprenant le piratage et les utilisateurs quotidiens de Zoom qui « ont remarqué quelque chose de bizarre », la diversité au sein de la communauté des hackers éthiques est incroyable.

Nous avons tant appris et tant évolué en 2021 ; nous avons hâte de poursuivre ces efforts et de collaborer avec d'autres hackers éthiques en 2022. Si vous souhaitez contribuer à rendre la solution Zoom plus sûre, envoyez le nom de votre profil HackerOne à l'adresse bugbounty@zoom.us ou parcourez la page Zoom Careers afin de découvrir les offres d'emploi pour les équipes Confiance et Sécurité. Bon piratage !

Pour en savoir plus sur la confidentialité et la sécurité de Zoom, explorez notre Trust Center.